浅谈开源web程序后台的安全性

发布时间:2014-03-12 13:58 作者:pandas 来源:51CTO 点击:加载中...次

一、前言

不知怎的最近甚是思念校园生活，思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子，喜欢看别人写的一些关于安全技巧或经验的总结；那时BBS上很多文章标题都是：成功渗透XXX，成功拿下XXX。这里便以一篇入侵菲律宾某大学的文章引出文章的主题，我们先简要看一下过程。大学网站使用了名为joomla的开源web程序，(1)青年使用一个joomla已经公开的漏洞进入web后台(2)青年使用joomla后台上传限制不严的缺陷上传了一个webshell(3)控制主机赠送我国国旗。

原来入侵一台主机如此容易，管理员果断给web程序打上安全补丁。管理员的工作是结束了，作为安全从业人员再一想是不是joomla后台这里可以上传webshell是不是有问题呢，如果joomla后台不能上传webshell，是不是可以减少入侵的可能和损失。下面进入本文的主题：web后台程序的安全性。

二、简介

国内很多站点都是基于开源论坛、cms搭建的，比如discuz、phpwind、dedecms等。这些程序都是国内开源web程序中的佼佼者，也比较注重安全性。平时大家关注比较多的是sql注入、xss这些可以直接窃取用户数据的漏洞。网上因为弱口令被入侵的案例数不胜数，此外用户数据泄漏事件时而发生，单纯靠密码防护的后台被突破，被社工的可能性越来越大。获取一个管理后台密码后，再结合后台程序的任意代码执行、文件包含或命令注入等漏洞得到一个shell，窃取用户资料不是什么难事。此时后台程序的安全性成为一个短板。

Discuz是一款流行的论坛程序，笔者这里就以它的后台程序为例简单分析一下其安全性，下面直接看一些漏洞案例(Discuz最新版本已打补丁,请用户及时升级到最新版-Discuz! X3.1 R20140101)。

三、案例分析

Tips：下文提到的$settingnew是discuz后台存储表单数据的变量，后台用户可控。

案例一：用户输入数据过滤逻辑不当

漏洞文件：X3\source\admincp\admincp_setting.php

分析：

// 1、alice修改$settingnew['extcredits']非数组

if(is_array($settingnew['extcredits'])) {

foreach($settingnew['extcredits'] as $key => $value) {

// 2、给$settingnew['initcredits'][1]传入phpinfo()；,非数组绕过intval转换

$settingnew['initcredits'][$i] = intval($settingnew['initcredits'][$i])；

... 省略 ...