2013年4月2日星期二

linux下apache+php安全设置:apache虚拟主机间隔离


1、实现虚拟主机笼环境

a.upl.com /wwwroot/a.upl.com/
b.upl.com /wwwroot/b.upl.com/

<VirtualHost *:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot “/wwwroot/a.upl.com/”
ServerName a.upl.com
ErrorLog “logs/a.upl.com-error_log”
CustomLog “logs/a.upl.com.com-access_log” common

<IfModule mod_php5.c>
php_admin_value open_basedir “/wwwroot/a.upl.com/:/tmp:/var/lib/php/session”
</IfModule>
(本节配置中间一行是重点!)

<IfModule suexec.c>
SuexecUserGroup daemon daemon
</IfModule>
(以上三行似乎没有用?)

</VirtualHost>
<VirtualHost *:80>
ServerAdmin webmaster@dummy-host2.example.com
DocumentRoot “/www”
ServerName b.upl.com
ErrorLog “logs/b.upl.com-error_log”
CustomLog “logs/b.upl.com-access_log” common

<Directory “/wwwroot/b.upl.com/”>
Order deny,allow
allow from all
</Directory>

<IfModule mod_php5.c>
php_admin_value open_basedir “/wwwroot/b.upl.com/:/tmp:/var/lib/php/session”
</IfModule>

<IfModule suexec.c>
SuexecUserGroup daemon daemon
</IfModule>
</VirtualHost>

实例测试:

www.abc.com与www.def.com两个站点,站点根目录分别是/var/www/html/vhost/www.abc.com/html、/var/www/html/vhost/www.def.com/html

在www.abc.com站点下建一个php文件,读取www.def.com的一个文件输出到浏览器(严格的说php是把它输出到web服务器的output buffer)



<?php
readfile('../../www.def.com/html/index.html');
?>

执行时报错,错误消息大致如下:

Warning: readfile(): open_basedir restriction in effect. File(../../www.def.com/html/index.html) is not within the allowed path(s): (/var/www/html/vhosts/www.def.com/html/:/tmp) in /var/www/html/vhosts/abc/html/test.php on line 2

Warning: readfile(../../www.def.com/html/index.html): failed to open stream: Operation not permitted in /var/www/html/vhosts/www.abc.com/html/test.php on line 2
2、实现禁止php后门执行系统指令

# vim /usr/local/lib/php.ini

disable_functions = phpinfo,gzcompress,apache_note,apache_setenv,proc_get_status,exec,passthru,proc_nice,proc_open,proc_terminate,shell_exec,system,popen,ini_restore,syslog,define_syslog_variables,symlink,link,error_log,leak,dbmopen,openlog,closelog,popen,pclose,stream_socket_server

关健是passthru函数,是它使后门可以执行系统指令
3、隐藏掉php信息
expose_php = On

4、关闭错误提示(如果经常在线调试就算了)
display_errors = Off

5、使用php过滤单引号等特殊字符(此设置不推荐,容易造成问题;仅供参考)
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc.
magic_quotes_runtime = On

; Use Sybase-style magic quotes (escape ‘ with ” instead of \’).
magic_quotes_sybase = On
如果打开了,有些php应用工作不正常,所以不推荐

6、让php工作在安全模式(一般不用,设定很严格;亦不推荐)
safe_mode = On

from http://www.tanpao.com/archives/17 (有小幅改动及标注)

linux VPS安装免费管理软件Virtualmin+Webmin安装步骤



Virtualmin有收费版本和免费版本两种,这里以免费版本的Virtualmin为例

确认你已经拿到vps的及其root用户密码
通过SSH登录你的VPS
访问:http://www.webmin.com/vinstall.html,安装有三步,其实就是执行三行命令
wget http://software.virtualmin.com/gpl/scripts/install.sh
chmod +x install.sh
./install.sh
安装时间可能要花费30分钟,视你的VPS性能及数据中心上网速度而定,当一切完成后你会从ssh的终端看到提示安装完成的信息
通过 http://yourvps-ip:10000 访问你的Virtualmin面板
登录的用户名是:root
登录的密码:vps的root密码

VPS定时自动备份终极指南

数据是vps上最重要的东西,我们要做好备份工作,作好VPS随时准备丢失数据的准备。
花了一整天,把目前所有的站做了每日同步,以下分享给大家实际操作方法。网上关于rsync的资料也不少,但多数我想会把你看晕的,以下我用实例来讲解,重点的地方我会详细说明,希望让大家都会用。
以下,假设网站所在的VPS为A,存储备份的VPS为B,系统均为CentOS。
备份方法为 B 定时向 A 拉数据来备份
一、VPS A 上面的具体部署
1. 安装 rsync
yum -y install rsync
把rsync加入开机启动
echo 'rsync --daemon' >> /etc/rc.d/rc.local
2. 设置rsync密码
echo '你的用户名:你的密码' > /etc/rsyncd.scrt
chmod 600 /etc/rsyncd.scrt
这里的用户名和密码,在VPS B上将会用到
3. 配置rsync
vim /etc/rsyncd.conf
放入以下内容, #后面是我的注释
下载:rsyncd.conf
uid = root
gid = root
use chroot = no
read only = yes
max connections = 10
port = 873
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
#log file = /var/log/rsync.log # 偶不想记录log
log format = %t %a %m %f %b
syslog facility = local3
timeout = 300
[www]
path = /var/www/
comment = AAA.com
ignore errors
read only = yes
list = no
auth users = andy
secrets file = /etc/rsyncd.scrt
#exclude = AAA.com/blog/cache/ #不需要备份的目录,我使用exclude from方法来排除
exclude from = /etc/rsync_exclude.txt
hosts allow = 备份服务器的IP
hosts deny = *
4. 排除不备份的目录
vim /etc/rsync_exclude.txt
输入不备份的目录,每行一个,不可以用绝对路径,而必须用上面配置文件中path的相对路径,如
AAA.com/blog/cache/
AAA.com/manual/
这个排除文件有更高级的+-写法,我们不需要,简单够用就好,用 exclude from 方法,好处在于随时要添加不需要备份的内容时,方便添加,且不需要重启rsync进程
5. 制作一个重启rsync的脚本
vim /root/rsyncd_restart.sh
放入以下内容
kill -9 `cat /var/run/rsyncd.pid`
rm -f /var/run/rsyncd.pid
rm -f /var/run/rsyncd.lock
rsync --daemon
chmod 600 /root/rsyncd_restart.sh
chmod +x /root/rsyncd_restart.sh
现在直接用 /root/rsyncd_restart.sh 来重新启动 rsync 进程
6. 备份 MySQL 的脚本
此脚本可同时备份多个数据库,并进行gzip压缩,按日期目录保存,3天之前的备份将被自动删除
vim /root/mysql_backup.sh
下载: mysql_backup.sh
#!/bin/bash
# 以下配置信息请自己修改
mysql_user="USER" #MySQL备份用户
mysql_password="PASSWORD" #MySQL备份用户的密码
mysql_host="localhost"
mysql_port="3306"
mysql_charset="utf8" #MySQL编码
backup_db_arr=("db1" "db2") #要备份的数据库名称,多个用空格分开隔开 如("db1" "db2" "db3")
backup_location=/var/www/mysql #备份数据存放位置,末尾请不要带“/”,此项可以保持默认,程序会自动创建文件夹
expire_backup_delete="ON" #是否开启过期备份删除 ON为开启 OFF为关闭
expire_days=3 #过期时间天数 默认为三天,此项只有在expire_backup_delete开启时有效
# 本行开始以下不需要修改
backup_time=`date +%Y%m%d%H%M` #定义备份详细时间
backup_Ymd=`date +%Y-%m-%d` #定义备份目录中的年月日时间
backup_3ago=`date -d '3 days ago' +%Y-%m-%d` #3天之前的日期
backup_dir=$backup_location/$backup_Ymd #备份文件夹全路径
welcome_msg="Welcome to use MySQL backup tools!" #欢迎语
# 判断MYSQL是否启动,mysql没有启动则备份退出
mysql_ps=`ps -ef |grep mysql |wc -l`
mysql_listen=`netstat -an |grep LISTEN |grep $mysql_port|wc -l`
if [[$mysql_ps == 0] -o [$mysql_listen == 0]]; then
echo "ERROR:MySQL is not running! backup stop!"
exit
else
echo $welcome_msg
fi
# 连接到mysql数据库,无法连接则备份退出
mysql -h$mysql_host -P$mysql_port -u$mysql_user -p$mysql_password <
use mysql;
select host,user from user where user='root' and host='localhost';
exit
end
flag=`echo $?`
if [ $flag != "0"]; then
echo “ERROR:Can't connect mysql server! backup stop!"
exit
else
echo "MySQL connect ok! Please wait.。。。。。"
# 判断有没有定义备份的数据库,如果定义则开始备份,否则退出备份
if ["backup_db_arr"!= "" ]then
#dbnames=$(cut -d ',' -f1-5 $backup_database)
#echo "arr is (${backup_db_arr[@]})"
for dbname in ${backup_db_arr[@]}
do
echo "database $dbname backup start.。。"
`mkdir -p $backup_dir`
`mysqldump -h$mysql_host -P$mysql_port -u$mysql_user -p$mysql_password $dbname --default-character-set=$mysql_charset | gzip 》 $backup_dir/$dbname-$backup_time.sql.gz`
flag=`echo $?`
if [ $flag == "0"];then
echo "database $dbname success backup to $backup_dir/$dbname-$backup_time.sql.gz"
else
echo "database $dbname backup fail!"
fi
done
else
echo "ERROR:No database to backup! backup stop"
exit
fi
# 如果开启了删除过期备份,则进行删除操作
if ["$expire_backup_delete" == "ON" -a "$backup_location"!= "" ]then
`find $backup_location/ -type d -o -type f -ctime +$expire_days -exec rm -rf {} \;`
echo "Expired backup data delete complete!"
fi
echo "All database backup success! Think you!"
exit
fi
chmod 600 /root/mysql_backup.sh
chmod +x /root/mysql_backup.sh
好了,加入 crontab 每天00:00定时自动备份
00 00 * * * /root/mysql_backup.sh
至此,网站所在VPS A上的部署已经都完成了!接下来在备份VPS B上进行设置来拉备份。
二、VPS B 上面的具体部署
1. 安装 rsync
yum -y install rsync
这里不需要加入开机启动了,因为是客户端,不是服务端
2. 设置rsync密码
echo '你在A上设置的密码'> /etc/rsync.pass
chmod 400 /etc/rsync.pass
3. 测试一下同步
先建个存储备份的地方
mkdir -p /var/rsync/
测试一下同步
rsync -avzP --delete --password-file=/etc/rsync.pass 用户名@192.168.0.100::www /var/rsync/AAA.com/
这条命令,我说明一下几个要点
-avzP是啥,自己搜索我站内介绍
--delete 是为了比如A上删除了一个文件,同步的时候,B会自动删除那个文件
--password-file 刚才VPS B中 /etc/rsync.pass 设置那个密码,要和VPS A的 /etc/rsyncd.scrt 中的密码一样,这样cron运行的时候,就不需要密码了
这条命令中的“用户名”为VPS A的 /etc/rsyncd.scrt 中的用户名
这条命令中的 192.168.0.100 为VPS A的IP地址
::www,注意是2个 : 号,www为VPS A的配置文件 /etc/rsyncd.conf 中的[www],意思是根据A上的/etc/rsyncd.conf来同步其中的[www]段内容,一个 : 号的时候,用于不根据配置文件,直接同步指定目录
4. 加入crontab每天00:30同步
30 00 * * * rsync -avzP --delete --password-file=/etc/rsync.pass 用户名@192.168.0.100::www /var/rsync/AAA.com/ > /dev/null 2>&1
OK!至此大功告成!不怕丢数据了,天天自动备份!
如果还要再保险一点,再加个VPS C。
C来同步B,双重备份,哪个挂了都不怕!

vps与共享虚拟主机(Shared Hosting)及独立实体服务器的比较

共享虚拟主机(Shared Hosting)通常简称虚拟主机,是传统上的建站设施,它是在一台服务器主机上安装支持多用户的web服务器软件(现代web服务器软件基本上都支持多用户的),从而可以让多个用户建各自的web站点。它有以下显著特点:
  1. 共享进程、共享内存:它们多个站点之间都是在web服务器的同一个(或一组)进程中运行的,这样,如果某一个站点有bug,或者严重消耗资源,将马上波及到其它站点。
  2. 共享硬盘空间:不同虚拟主机之间,访问的是同一硬盘空间,如果知道其它用户的站点文件的存储目录,可以很容易的查看其文件。不少虚拟主机商的都有这个问题,有兴趣的用户可以传个webshell到虚拟主机上试试。也就是说站点数据的安全性很差。
  3. 安全性差:上一段说了,安全,这是很要命的事情。
  4. 灵 活性严重不足:虚拟主机通常只提供了web与数据库,有些还附赠个小得可怜的邮箱或者简陋的域名管理。想自己安装程序,不行;在线打包或解压缩,不行;软 件版本太老、想升级一下,不行;不想使用默认的80端口而换个其它端口建个私密站点,不行;想多绑定几个域名、或者对不同目录绑定不同的域名,不 行......

vps优点

上面提到的虚拟主机的几个劣势,在vps上都是天生不存在的;它主要有以下几个优点,了解虚拟机(vmware或virtualbox等)的朋友很容易理解:
  1. 用户之间严格隔离:一台实体服务器上多个vps之间互不影响,每台vps都用户有其独立的内存、cpu、硬盘等资源,相互之间处于相对的隔离状态。一台vps可能在跑很占用资源的程序,但对通常其它用户基本不造成影响;注意是“基本不”,还是有一定影响的,下面会讲到。
  2. 高 度的安全性:得益于VPS相对独立的用户隔离的特性,其安全性相比Shared Hosting(共享虚拟主机)有得天独厚的提高。每个vps访问的都跑着独立的操作系统,拥有独立的内存、独立的硬盘空间,你的数据安全性将是千倍万倍 的提升。不过,这并不是绝对的,下面也会讲。
  3. 拥有与实体服务器一样的用户体验:用户可以在VPS上安装自己喜欢的操作系统,喜欢哪个 Linux发行版就装哪个,可以随时“重装系统”;想用Windows那就使用windows的服务器操作系统。想装什么软件就装什么软件,比如你喜欢 apache作web服务器那就用apache,想用nginx就用nginx,想用最新版本的php就装最新版本的,如果你想用最新的技术,如 node.js,现在几乎没有哪家虚拟主机支持,但vps上完全没问题,还有memcached, noSQL等等也一样。这些在传统虚拟主机是根本不可想像的。
  4. 灵活性:在使用上,vps与实体服务器完全一致,你可以关掉不必要的服 务、功能模块、甚至是禁用某些函数,使用特殊的端口、绑定N多个域名、建N多个网站,是不能自己选择如果自己安装的,一切都以服务商的环境为主。而是用 VPS则可以选择自己喜欢的操作系统,安装自 己喜欢的软件。这都是Shared Hosting无法做到的。
  5. 更丰富、更强大的功能:vps可以提供web,数据库,ftp之外的更多服务,如邮件、除了这些,还有更多新奇的应用,甚至越乎你的想像!后面讲,继续往下看~~
  6. 价格便宜:这点是相对实体服务器而言的。可以想像,想拥有上面提到的种种优点,自己购(或租)一台服务器,平均每个月花费起码也得花费六七百块钱,而vps可能几十块钱就够了。当然,相对于虚拟主机,还是贵不少的。按性价比算,还是物有(超?)所值的!

使用vps要事先考虑的几点(“劣势”?)

vps的使用,最主要的障碍是技术门槛。
因为vps的管理跟对实体服务器的管理几乎完全一样,除了对硬件的管理之外;所以,vps的使用者要有一定的技术水平,至少要懂得点系统环境配置方面知识。好在有不少vps管理面板软件可供我们使用,如果不是特殊的配置,完全可以满足日常的管理需要。
安全方面的管理,因为vps是互联网上的一台独立服务器,你要保证你的服务器的安全!对于虚拟主机而言,这点主机商会帮我们做好的,所以不用我们多操心。
vps价格通常比虚拟主机高,预算有限的朋友,要多考虑一下了:是使用虚拟主机,还是多花点钱用vps,或者是跟信得过的朋友合租vps? vps也有不同档次,有些入门级的vps也很便宜,尤其美国的。

虚拟主机、vps、实体服务器的对比小结


虚拟主机vps实体服务器
性能通常较差通常较好,可升级扩充好,
技术门槛较高更高,包括硬件维护
内存完全共享独立,数百M到数G都有完全独立,由服务器硬件决定,可添加
硬盘空间共享,容量通常较小独立,较大完全独立,可添加
cpu通常限制较多,不能运行耗费资源大的程序有一定限制由服务器硬件决定,完全独占
带宽共享带宽,容易受其它站点影响相对独立,一般有保障带宽大,由接入网络决定
流量一般较少较大大,由接入网络决定
运行速度通常慢较快
站点隔离性很差完全隔离
稳定性通常较差一般较好,前提是系统要正确配置完全依赖配置,包括硬件软件配置
功能限制非常多很少几乎没有
灵活性几乎根本没有灵活灵活
可控性较少很大完全可控
安全性较差,主要由主机商负责高,主要靠自行管理高,完全自行管理
操作简便性简单较复杂较复杂
功能丰富程度十分单一丰富,自由定制丰富,完全自由定制
IP地址通常共享,部分主机商提供独立IP独立IP,可增加IP独立IP,可增加IP
可扩充性差,通常只能扩充硬盘空间、流量较好,非常方便,可以随时升级内存、硬盘、cpu、带宽等,联系客服或自助操作好,但不方便,要通过更换或添加硬件来实现,麻烦,还有虑硬件兼容性风险
迁移便捷性较麻烦,要手工逐个备份站点文件及数据库等,恢复亦然方便,所有文件都可打包压缩,包括配置文件,传到新环境下稍做修改甚至不用修改就可用;有些主机商甚至可以对整个系统直接搬迁靠搬迁机器硬件设备实现
适用范围入门级站长、小型个人网站、小型公司网站有一定经验的站长,爱折腾的玩家,有特殊网络服务要求者,模拟实践实体服务器管理者,访问量较大的中小公司网站大中型网站,有特殊网络服务要求者

PHP漏洞全解(一)-PHP网站的安全性问题



针对PHP的网站主要存在下面几种攻击方式:
1、命令注入(Command Injection)
2、eval注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
以后的每期连载,会逐个介绍这些漏洞的原理和防御方法。
几个重要的php.ini选项:
RegisterGlobals
php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals
的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患。
例1:
//check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作。
//ex1.php
if(check_admin())
{
$is_admin=true;
}
if($is_admin)
{
do_something();
}
?>
这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交ex1.php?is_admin=true,就可以绕过check_admin()的验证:
例2:
//ex2.php
if(isset($_SESSION["username"]))
{
do_something();
}
else
{
echo"您尚未登录!";
}
?>
当register_globals=On时,我们提交ex2.php?_SESSION[username]=dodo,就具有了此用户的权限所以不管register_globals为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化。
safe_mode
安全模式,PHP用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。启用
安全模式必须设置php.ini中的safe_mode=On
1、限制文件存取
safe_mode_include_dir="/path1:/path2:/path3"
不同的文件夹用冒号隔开
2、限制环境变量的存取
safe_mode_allowed_env_vars=string
指定PHP程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars=PHP_ ,当这个选项的值为空时,那么php可以改变任何环境变量
safe_mode_protected_env_vars=string用来指定php程序不可改变的环境变量的前缀。
3、限制外部程序的执行
safe_mode_exec_dir=string
此选项指定的文件夹路径影响system、exec、popen、passthru,不影响shell_exec和“``”。
disable_functions=string
不同的函数名称用逗号隔开,此选项不受安全模式影响。
magicquotes
用来让php程序的输入信息自动转义,所有的单引号(“'”),双引号(“"”),反斜杠(“\”)和空字符(NULL),都自动被加上反斜杠进行 转义magic_quotes_gpc=On用来设置magicquotes为On,它会影响HTTP请求的数据(GET、POST、Cookies)程 序员也可以使用addslashes来转义提交的HTTP 请求数据,或者用stripslashes 来删除转义。

 PHP漏洞全解(二)-命令注入攻击

命令注入攻击
PHP中可以使用下列5个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、“(与shell_exec功能相同)
函数原型
string system(string command, int &return_var)
command 要执行的命令
return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
command 要执行的命令
output 获得执行命令输出的每一行字符串
return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
command 要执行的命令
return_var 存放执行命令后的状态值
string shell_exec (string command)
command 要执行的命令
漏洞实例
例1:
  1. //ex1.php
  2. $dir = $_GET["dir"];
  3. if (isset($dir))
  4. {
  5. echo "
    ";
  6. system("ls -al ".$dir);
  7. echo "
";
  • }
  • ?>
我们提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后,命令变成了 system("ls -al | cat /etc/passwd");
eval注入攻击
eval函数将输入的字符串参数当作PHP程序代码来执行
函数原型:
mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候
//ex2.php
$var = "var";
if (isset($_GET["arg"]))
{
$arg = $_GET["arg"];
eval("\$var = $arg;");
echo "\$var =".$var;
}
?>
当我们提交http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了;
动态函数
php
func A()
{
dosomething();
}
func B()
{
dosomething();
}
if (isset($_GET["func"]))
{
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
程序员原意是想动态调用A和B函数,那我们提交http://www.sectop.com/ex.php?func=phpinfo漏洞产生
防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用escapeshellarg函数来处理命令参数
4、使用safe_mode_exec_dir指定可执行文件的路径
esacpeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“’”,替换成“\’”,双引号“"”,替换成“\"”,分号“;”替换成“\;”
用safe_mode_exec_dir指定可执行文件的路径,可以把会使用的命令提前放入此路径内
safe_mode = On
safe_mode_exec_dir = /usr/local/php/bin/

PHP漏洞全解(三)-客户端脚本植入


客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。
可以被用作脚本植入的HTML标签一般包括以下几种:
1、 无限弹框
插入 跳转钓鱼页面
或者使用其他自行构造的js代码进行攻击
防范的方法
一般使用htmlspecialchars函数来将特殊字符转换成HTML编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号。 ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成html编码:
& —-> &
" —-> "
‘ —-> ‘
< —-> <
> —-> >
把show.php的第98行改成
然后再查看插入js的漏洞页面

PHP漏洞全解(四)-xss跨站脚本攻击

XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS
跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送xss的http链接给目标用户
2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接
3、网站执行了此xss攻击脚本
4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站,完成攻击
当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?key=" method="POST">
跨站脚本被插进去了
防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用
这样直接避免了$_SERVER["PHP_SELF"]变量被跨站

PHP漏洞全解(五)-SQL注入攻击

SQL注入攻击(SQL Injection),是攻击者在表单中提交精心构造的sql语句,改动原来的sql语句,如果web程序没有对提交的数据经过检查,那么就会造成sql注入攻击。
SQL注入攻击的一般步骤:
1、攻击者访问有SQL注入漏洞的站点,寻找注入点
2、攻击者构造注入语句,注入语句和程序中的SQL语句结合生成新的sql语句
3、新的sql语句被提交到数据库中执行 处理
4、数据库执行了新的SQL语句,引发SQL注入攻击
实例
数据库
  1. CREATE TABLE `postmessage` (
  2. `id` int(11) NOT NULL auto_increment,
  3. `subject` varchar(60) NOT NULL default ”,
  4. `name` varchar(40) NOT NULL default ”,
  5. `email` varchar(25) NOT NULL default ”,
  6. `question` mediumtext NOT NULL,
  7. `postdate` datetime NOT NULL default ’0000-00-00 00:00:00′,
  8. PRIMARY KEY (`id`)
  9. ) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT=’运用者的留言’ AUTO_INCREMENT=69 ;
  10. grant all privileges on ch3.* to ‘sectop’@localhost identified by ’123456′;
  11. //add.php 插入留言
  12. //list.php 留言列表
  13. //show.php 显示留言
页面 http://www.netsos.com.cn/show.php?id=71 可能存在注入点,我们来测试
返回页面
一次查询到记录,一次没有,我们来看看源码
//show.php 12-15行
// 执行mysql查询语句
$query = "select * from postmessage where id = ".$_GET["id"];
$result = mysql_query($query)
or die("执行ySQL查询语句失败:" . mysql_error());
参数id传递进来后,和前面的字符串结合的sql语句放入数据库执行 查询
提交 and 1=1,语句变成select * from postmessage where id = 71 and 1=1 这语句前值后值都为真,and以后也为真,返回查询到的数据
提交 and 1=2,语句变成select * from postmessage where id = 71 and 1=2 这语句前值为真,后值为假,and以后为假,查询不到任何数据
正常的SQL查询,经过我们构造的语句之后,形成了SQL注入攻击。通过这个注入点,我们还可以进一步拿到权限,比如说运用 union读取管理密码,读取数据库信息,或者用mysql的load_file,into outfile等函数进一步渗透。
防范方法
整型参数:
运用 intval函数将数据转换成整数
函数原型
int intval(mixed var, int base)
var是要转换成整形的变量
base,可选,是基础数,默认是10
浮点型参数:
运用 floatval或doubleval函数分别转换单精度和双精度浮点型参数
函数原型
int floatval(mixed var)
var是要转换的变量
int doubleval(mixed var)
var是要转换的变量
字符型参数:
运用 addslashes函数来将单引号“’”转换成“\’”,双引号“"”转换成“\"”,反斜杠“\”转换成“\\”,NULL字符加上反斜杠“\”
函数原型
string addslashes (string str)
str是要检查的字符串
那么刚才出现的代码漏洞,我们可以这样修补
// 执行mysql查询语句
$query = "select * from postmessage where id = ".intval($_GET["id"]);
$result = mysql_query($query)
or die("执行ySQL查询语句失败:" . mysql_error());
如果是字符型,先判断magic_quotes_gpc能无法 为On,当不为On的时候运用 addslashes转义特殊字符
  1. if(get_magic_quotes_gpc())
  2. {
  3.     $var = $_GET["var"];
  4. }
  5.  else
  6.  {
  7.   $var = addslashes($_GET["var"]);
  8. }
再次测试,漏洞已经修补

PHP漏洞全解(六)-跨网站请求伪造


CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请 求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法 权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。
例如:某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
任意删除留言
//delbook.php 此页面用于删除留言
include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}
else
{
$sql="delete from book where id=".$id; //传递要删除的留言ID
mysql_query($sql);
}
mysql_close($conn);
echo "";
echo "alert(‘删除成功!’);";
echo " location=’book.php’;";
echo "";
?>
当我们具有admin权限,提交http://localhost/manage/delbook.php?id=2 时,就会删除id为2的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
"delbook.php?id=2" />
"delbook.php?id=3" />
"delbook.php?id=4" />
"delbook.php?id=5" />
插入4张图片链接分别删除4个id留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的ID号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET["act"])
{
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."
设计制作:厦门随缘网络科技";
$password=md5($_POST["password"]);
if(emptyempty($_POST["password"]))
{
$sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
else
{
$sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "";
echo "alert(‘修改成功!’);";
echo " location=’pass.php’;";
echo "";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1" name="sh">
<input type="radio" name="sh" checked value="0">
<input type="text" name="username" value="root">
<input type="password" name="password" value="root">
<input type="text" name="title" value="随缘网络PHP留言板V1.0(带审核功能)" >
<textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络PHP留言板V1.0(带审核功能)!textarea>
<textarea name="copyright" rows="6" cols="80" >随缘网络PHP留言本V1.0 版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制 提供优惠主机域名textarea>
form>
body>
存为attack.html,放到自己网站上http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的pass.php提交参数,用户名修改为root,密码修改为root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了root
防范方法
防范CSRF要比防范其他攻击更加困难,因为CSRF的HTTP请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST,不要使用GET
检查网页来源
在//pass.php头部加入以下红色字体代码,验证数据提交
if($_GET["act"])
{
if(isset($_SERVER["HTTP_REFERER"]))
{
$serverhost = $_SERVER["SERVER_NAME"];
$strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
$strdomain = explode("/",$strurl);
$sourcehost = $strdomain[0];
if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
{
unset($_POST);
echo "";
echo "alert(‘数据来源异常!’);";
echo " location=’index.php’;";
echo "";
}
}
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."
设计制作:厦门随缘网络科技";
$password=md5($_POST["password"]);
if(emptyempty($_POST["password"]))
{
$sql="update gly set username=’".$username."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
else
{
$sql="update gly set username=’".$username."’,password=’".$password."’,sh=".$sh.",gg=’".$gg."’,title=’".$title."’,copyright=’".$copyright."’ where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "";
echo "alert(‘修改成功!’);";
echo " location=’pass.php’;";
echo "";
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个session变量,然后检查这个隐藏变量和session变量是否相等,以此来判断是否同一个网页所调用
php
include_once("dlyz.php");
include_once("../conn.php");
if($_GET["act"])
{
if (!isset($_SESSION["post_id"]))
{
// 生成唯一的ID,并使用MD5来加密
$post_id = md5(uniqid(rand(), true));
// 创建Session变量
$_SESSION["post_id"] = $post_id;
}
// 检查是否相等
if (isset($_SESSION["post_id"]))
{
// 不相等
if ($_SESSION["post_id"] != $_POST["post_id"])
{
// 清除POST变量
unset($_POST);
echo "<script language=’javascript’>";
echo "alert(‘数据来源异常!’);";
echo " location=’index.php’;";
echo "script>";
}
}
……
<input type="reset" name="Submit2" value="重 置">
<input type="hidden" name="post_id" value="php echo $_SESSION["post_id"];?>">
td>tr>
table>
form>
php
}
mysql_close($conn);
?>
</body>
</html>
使用POST,不要使用GET
传递表单字段时,一定要是用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

 PHP漏洞全解(七)-Session劫持

服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用 户的session都是独立的,并且由服务器来维护。每个用户的session是由一个独特的字符串来识别,成为session id。用户发出请求时,所发送的http表头内包含session id 的值。服务器使用http表头内的session id来识别时哪个用户提交的请求。
session保存的是每个用户的个人数据,一般的web应用程序会使用session来保存通过验证的用户账号和密码。在转换不同的网页时,如果 需要验证用户身份,就是用session内所保存的账号和密码来比较。session的生命周期从用户连上服务器后开始,在用户关掉浏览器或是注销时用户 session_destroy函数删除session数据时结束。如果用户在20分钟内没有使用计算机的动作,session也会自动结束。
php处理session的应用架构
会话劫持
会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1)暴力破解:尝试各种session id,直到破解为止。
2)计算:如果session id使用非随机的方式产生,那么就有可能计算出来
3)窃取:使用网络截获,xss攻击等方法获得
会话劫持的攻击步骤
实例
//login.php
session_start();
if (isset($_POST["login"]))
{
$link = mysql_connect("localhost", "root", "root")
or die("无法建立MySQL数据库连接:" . mysql_error());
mysql_select_db("cms") or die("无法选择MySQL数据库");
if (!get_magic_quotes_gpc())
{
$query = "select * from member where username=’" . addslashes($_POST["username"]) .
"’ and password=’" . addslashes($_POST["password"]) . "’";
}
else
{
$query = "select * from member where username=’" . $_POST["username"] .
"’ and password=’" . $_POST["password"] . "’";
}
$result = mysql_query($query)
or die("执行MySQL查询语句失败:" . mysql_error());
$match_count = mysql_num_rows($result);
if ($match_count)
{
$_SESSION["username"] = $_POST["username"];
$_SESSION["password"] = $_POST["password"];
$_SESSION["book"] = 1;
mysql_free_result($result);
mysql_close($link);
header("Location: http://localhost/index.php?user=" .
$_POST["username"]);
}
….//index.php
// 打开Session
session_start();
访客的 Session ID 是:echo session_id(); ?>
访客:echo htmlspecialchars($_GET["user"], ENT_QUOTES); ?>
book商品的数量:echo htmlspecialchars($_SESSION["book"], ENT_QUOTES); ?>
如果登录成功,使用
$_SESSION["username"] 保存账号
$_SESSION["password"] 保存密码
#_SESSION["book"] 保存购买商品数目.

登录以后显示
开始攻击
//attack.php
php
// 打开Session
session_start();
echo "目标用户的Session ID是:" . session_id() . "<br />";
echo "目标用户的username是:" . $_SESSION["username"] . "<br />";
echo "目标用户的password是:" . $_SESSION["password"] . "<br />";
// 将book的数量设置为2000
$_SESSION["book"] = 2000;
?>
提交 http://localhost/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID为获取到的客户session id,刷新客户页面以后
客户购买的商品变成了2000
session固定攻击
黑客可以使用把session id发给用户的方式,来完成攻击
http://localhost/index.php?user=dodo&PHPSESSID=1234 把此链接发送给dodo这个用户显示
然后攻击者再访问 http://localhost/attack.php?PHPSESSID=1234 后,客户页面刷新,发现
商品数量已经成了2000
防范方法
1)定期更改session id
函数 bool session_regenerate_id([bool delete_old_session])
delete_old_session为true,则删除旧的session文件;为false,则保留旧的session,默认false,可选
在index.php开头加上

session_start();
session_regenerate_id(TRUE);
……
这样每次从新加载都会产生一个新的session id
2)更改session的名称
session的默认名称是PHPSESSID,此变量会保存在cookie中,如果黑客不抓包分析,就不能猜到这个名称,阻挡部分攻击

session_start();
session_name("mysessionid");
……
3)关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookies来制定session id时,sessioin id使用链接来传递;打开php.ini,编辑
session.use_trans_sid = 0
代码中

int_set("session.use_trans_sid", 0);
session_start();
……
4)只从cookie检查session id
session.use_cookies = 1 表示使用cookies存放session id
session.use_only_cookies = 1 表示只使用cookies存放session id,这可以避免session固定攻击
代码中
int_set("session.use_cookies", 1);
int_set("session.use_only_cookies", 1); p>
5)使用URL传递隐藏参数
session_start();
$seid = md5(uniqid(rand()), TRUE));
$_SESSION["seid"] = $seid;
攻击者虽然能获取session数据,但是无法得知$seid的值,只要检查seid的值,就可以确认当前页面是否是web程序自己调用的。

PHP漏洞全解(八)-HTTP响应拆分

 本节主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分
HTTP请求的格式
1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件
2)表头:例如“Host: localhost”,表示服务器地址
3)空白行
4)信息正文
“请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不可以有其他空格符。
下面例子发送HTTP请求给服务器www.yhsafe.com
GET /index.php HTTP/1.1↙ //请求信息
Host:www.yhsafe.com↙ //表头
↙ //空格行
↙符号表示回车键,在空白行之后还要在按一个空格才会发送HTTP请求,HTTP请求的表头中只有Host表头是必要的饿,其余的HTTP表头则是根据HTTP请求的内容而定。
HTTP请求的方法
1)GET:请求响应
2)HEAD:与GET相同的响应,只要求响应表头
3)POST:发送数据给服务器处理,数据包含在HTTP信息正文中
4)PUT:上传文件
5)DELETE:删除文件
6)TRACE:追踪收到的请求
7)OPTIONS:返回服务器所支持的HTTP请求的方法
8)CONNECT:将HTTP请求的连接转换成透明的TCP/IP通道
HTTP响应的格式
服务器在处理完客户端所提出的HTTP请求后,会发送下列响应。
1)第一行是状态码
2)第二行开始是其他信息
状态码包含一个标识状态的数字和一个描述状态的单词。例如:
HTTP/1.1 200 OK
200是标识状态的是数字,OK则是描述状态的单词,这个状态码标识请求成功。
HTTP请求和响应的例子
打开cmd输入telnet,输入open www.00aq.com 80
打开连接后输入
GET /index.php HTTP/1.1↙
Host:www.00aq.com↙
返回HTTP响应的表头
返回的首页内容
使用PHP来发送HTTP请求
header函数可以用来发送HTTP请求和响应的表头
函数原型
void header(string string [, bool replace [, int http_response_code]])
string是HTTP表头的字符串
如果replace为TRUE,表示要用目前的表头替换之前相似的表头;如果replace为FALSE,表示要使用多个相似的表头,默认值为TRUE
http_response_code用来强制HTTP响应码使用http_response_code的值
实例:
<?php
// 打开Internet socket连接
$fp = fsockopen(www.00aq.com, 80);
// 写入HTTP请求表头
fputs($fp, "GET / HTTP/1.1\r\n");
fputs($fp, "Host: www.00aq.com\r\n\r\n");
// HTTP响应的字符串
$http_response = "";
while (!feof($fp))
{
// 读取256位的HTTP响应字符串
$http_response .= fgets($fp, );
}
// 关闭Internet socket连接
fclose($fp);
// 显示HTTP响应信息
echo nl2br(htmlentities($http_response));
?>

HTTP响应拆分攻击
HTTP响应拆分是由于攻击者经过精心设计利用电子邮件或者链接,让目标用户利用一个请求产生两个响应,前一个响应是服务器的响应,而后一个则是攻 击者设计的响应。此攻击之所以会发生,是因为WEB程序将使用者的数据置于HTTP响应表头中,这些使用者的数据是有攻击者精心设计的。
可能遭受HTTP请求响应拆分的函数包括以下几个:
header(); setcookie(); session_id(); setrawcookie();
HTTP响应拆分通常发生在:
Location表头:将使用者的数据写入重定向的URL地址内
Set-Cookie表头:将使用者的数据写入cookies内
实例:
<?php
header("Location: " . $_GET['page']);
?>
请求
GET /location.php?page=http://www.00aq.com HTTP/1.1↙
Host: localhost↙
返回
HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
访问下面的链接,会直接出现一个登陆窗口
http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a帐号%20密码%20
转换成可读字符串为:
Content-Type: text/html
HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 158
帐号
 密码
一个HTTP请求产生了两个响应
防范的方法:
1)替换CRLF换行字符
<?php
    header("Location: " . strtr($_GET['page'], array("\r"=>"",    "\n"=>"")));
?>
2)使用最新版本的PHP
PHP最新版中,已经不允许在HTTP表头内出现换行字符
隐藏HTTP响应表头
apache中httpd.conf,选项ServerTokens = Prod, ServerSignature = Off
php中php.ini,选项expose_php = Off

PHP漏洞全解(九)-文件上传漏洞

本节主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件 类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。
一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。
下面是一个简单的文件上传表单
<form action="upload.php" method="post" enctype="multipart/form-data" name="form1">
<input type="file" name="file1" /><br />
<input type="submit" value="上传文件" />
<input type="hidden" name="MAX_FILE_SIZE" value="1024" />
</form>
php的配置文件php.ini,其中选项upload_max_filesize指定允许上传的文件大小,默认是2M
$_FILES数组变量
PHP使用变量$_FILES来上传文件,$_FILES是一个数组。如果上传test.txt,那么$_FILES数组的内容为:
$FILES
Array
{
[file] => Array
{
[name] => test.txt //文件名称
[type] => text/plain //MIME类型
[tmp_name] => /tmp/php5D.tmp //临时文件
[error] => 0 //错误信息
[size] => 536 //文件大小,单位字节
}
}
如果上传文件按钮的name属性值为file
  1. <input type="file" name="file" />
那么使用$_FILES['file']['name']来获得客户端上传文件名称,不包含路径。使用$_FILES['file']['tmp_name']来获得服务端保存上传文件的临时文件路径
存放上传文件的文件夹
PHP不会直接将上传文件放到网站根目录中,而是保存为一个临时文件,名称就是$_FILES['file']['tmp_name']的值,开发者必须把这个临时文件复制到存放的网站文件夹中。
$_FILES['file']['tmp_name']的值是由PHP设置的,与文件原始名称不一样,开发者必须使用$_FILES['file']['name']来取得上传文件的原始名称。
上传文件时的错误信息
$_FILES['file']['error']变量用来保存上传文件时的错误信息,它的值如下:
错误信息数值说 明
UPLOAD_ERR_OK0没有错误
UPLOAD_ERR_INI_SIZE1上传文件的大小超过php.ini的设置
UPLOAD_ERR_FROM_SIZE2上传文件的大小超过HTML表单中MAX_FILE_SIZE的值
UPLOAD_ERR_PARTIAL3只上传部分的文件
UPLOAD_ERR_NO_FILE4没有文件上传
文件上传漏洞
如果提供给网站访问者上传图片的功能,那必须小心访问者上传的实际可能不是图片,而是可以指定的PHP程序。如果存放图片的目录是一个开放的文件夹,则入侵者就可以远程执行上传的PHP文件来进行攻击。
下面是一个简单的文件上传例子:
<?php
// 设置上传文件的目录
$uploaddir = "D:/www/images/";
// 检查file是否存在
if (isset($_FILES['file1']))
{
// 要放在网站目录中的完整路径,包含文件名
$uploadfile = $uploaddir . $_FILES['file1']['name'];
// 将服务器存放的路径,移动到真实文件名
move_uploaded_file($_FILES['file1']['tmp_name'], $uploadfile);
}
?>
……
<form method="post" enctype="multipart/form-data" name="form1">
<input type="file" name="file1" /><br />
<input type="submit" value="上传文件" />
<input type="hidden" name="MAX_FILE_SIZE" value="1024" />
</form>
这个例子没有检验文件后缀,可以上传任意文件,很明显的上传漏洞

from  http://os.51cto.com/art/201204/328766.htm