博主:鴻漸之翼
個人介紹:男,搞底層的FW,喜歡發一點沒用的東西,
介紹:
程式設計語言通常不構成安全風險,風險是由程式員帶來的,幾乎每種語言都有某些缺陷,這些缺陷在某種程度上可能有助于創建不安全的軟體,但軟體的整體安全性仍然在很大程度上取決于開發者的安全意識,Perl也有安全“陷阱”,然而大多數Perl程式員并不了解這些陷阱,
在本文中,我們將介紹一些被廣泛誤用和忽視的Perl特性,本文將展示perl語言不正確的使用方式,錯誤使用方式又是如何對運行程式的用戶,及系統構成威脅,本文也會展示如何利用這些漏洞,以及如何修復或避免它們,
基本用戶輸入漏洞
Basic user input vulnerabilities
Perl腳本中安全問題的一個主要來源是未正確驗證(或未驗證)的用戶輸入,任何時候你的程式可能會從一個不受信任的用戶那里獲取輸入,即使是間接的,你都應該小心,例如,如果我們使用Perl撰寫CGI腳本,那么惡意用戶可能會向您發送虛假輸入,
如果未經驗證就使用,對此類應用程式的不當輸入就可能會導致許多問題,在沒有正確驗證的情況下,使用用戶提供的引數執行其他程式,使最常見的錯誤,
system() 和exec()函式
Perl語言以其“粘貼語言”而出名,它可以出色地呼叫其他程式來幫協助完成它的作業,通過收集一個程式的輸出,以特定的方式重新格式化,并將其作為輸入傳遞給其他程式,仔細地協調它們的活動,從而使一切都能順利運行,
執行外部程式或系統命令的一種方法是呼叫exec()函式,當Perl遇到exec()陳述句時,它會查看呼叫exec()時使用的引數,然后啟動一個執行指定命令的新行程,Perl從不將控制權回傳到呼叫exec()的原始行程,
另一個類似的函式是system(),system()與exec()函式非常相像,唯一的區別是perl首先從父行程中派生一個子行程,父行程等待著子行程結束,然后繼續執行程式的其他部分,
下面我們將詳細討論system()與exec()的函式呼叫,
給system()函式運行的是一個串列,
system()抽象串列
1.程式名稱
2.其余元素(作為傳遞引數傳遞給程式)
如果只要一個引數,system()呼叫方式會有不同,這種情況下
perl會掃描引數,查看是否含有shell字符,如果是則繼續解釋,perl將生成一個命令shell,如果perl不了解特殊的shell字符,perl會將字串分解成單詞,并呼叫更高效的C庫呼叫execvp()
假設我們有一個CGI表單,它要求輸入用戶名, 并顯示一些包含該用戶統計資訊的檔案,我們可以使用system()呼叫cat,
system ("cat /usr/stats/$username");
$username來自以下表單:
$username = param ("username");
用戶填寫表單時,例如;username=jdimov,然后提交表單,
perl在字串”cat /usr/stats/jdimov“中找不到任何元字符,它運行cat程式,然后回傳腳本,這個腳本看起來無害,但實際上可能被惡意攻擊者利用,問題在于,通過表單的‘username’欄位中使用特殊的字符,攻擊者可以通過shell執行任意命令,
例如,假設攻擊者發送字串"jdimov; cat /etc/passwd",
perl將分號識別為元字符,并傳遞給shell
cat /usr/stats/jdimov; cat /etc/passwd
攻擊者同時獲得虛擬統計檔案和密碼檔案,如果想具有破壞性,我們可以祭出“rm -rf”,
前面提到過,system()接受一個引數串列,并將第一個元素作為命令執行,將其余元素作為引數傳給它,我們只需要稍微更改腳本,以便執行我們的程式,
system ("cat", "/usr/stats/$username");
因此我們分別為程式指定每個引數,所以永遠不會呼叫shell,所以使得rm -rf不管用,因為攻擊字串被解釋為檔案名,
這種方法比單引數版本要好得多,因為它避免了使用shell,但仍然存在潛在的缺陷,特別是,我們需要擔心username的值是否會被用來利用正在執行的程式(在本例中為“cat”)的弱點,例如,攻擊者仍然可以通過將$username設定為字串“…/…/etc/passwd”,利用我們重寫的代碼來顯示系統密碼檔案,
根據程式的不同,許多其他事情可能會出錯,例如,一些應用程式將特殊字符序列解釋為執行shell命令的請求,一個常見的問題是,某些版本的Unix“mail”實用程式,在看到~!背景關系中的轉義序列,因此,用戶輸入包含!rm -”在某些情況下可能會導致問題,
就安全性而言,上面提到的 system()函式同樣適用于exec()
open()函式
Perl中的open()函式用于打開檔案,在最常見的形式中,它的使用方式如下:
open (FILEHANDLE, "filename");
像這樣使用,“filename”以只讀模式打開,如果“filename”的前綴帶有“>”符號,則會打開該檔案進行輸出,如果該檔案已經存在,則會覆寫該檔案,如果它的前綴為“>>”,則可以進行追加,前綴“<”打開檔案進行輸入,但如果沒有使用前綴,這也是默認模式,使用未經驗證的用戶輸入作為檔案名的一部分的一些問題應該已經很明顯了,例如,反向目錄遍歷技巧在這里同樣有效,
這里還有其他擔憂的地方,讓我們修改腳本以使用open()而不是“cat”,會有類似于:
open (STATFILE, "/usr/stats/$username");
然后是一些從檔案中讀取并顯示的代碼,Perl檔案告訴我們:
如果檔案名以“|”開頭,則該檔案名將被解釋為將輸出傳輸到的命令;如果檔案名以“|”結尾,則該檔案名將被解釋為將輸出傳輸到我們的命令,然后,用戶可以在/usr/stats目錄下運行任何命令,只需修復一個“|”,向后目錄遍歷允許用戶在系統上執行任何程式, 解決此問題的一種方法是,始終使用“<”符號作為前綴,明確指定要打開該檔案進行輸入:
open (STATFILE, "</usr/stats/$username");
有時我們確實希望呼叫外部程式,例如,假設我們希望更改腳本,使其讀取舊的純文本檔案/usr/stats/username,但在向用戶顯示之前將其通過HTML過濾器,比方說,我們有一個方便的實用工具,就為了這個目的,一種方法是這樣做:
open (HTML, "/usr/bin/txt2html /usr/stats/$username|");
print while <HTML>;
不幸的是,程式仍然是通shell,我們可以使用另一種形式的open()呼叫來避免生成shell:
open (HTML, "-|")
or exec ("/usr/bin/txt2html", "/usr/stats/$username");
print while <HTML>;
當我們將管道打開到“-”時,無論是用于讀取(“-|”)還是用于寫入(“|-”),Perl都會分叉當前行程,并將子行程的PID回傳給父行程,將0回傳給子行程,“or”陳述句用來判定父子行程,如果我們在父行程(open()的回傳值為非零),則繼續執行print()陳述句,否則,我們就是子行程,所以我們執行txt2html程式,使用exec()和多個引數來避免通過shell傳遞任何內容,發生的情況是,子行程將txt2html生成的輸出列印到STDOUT,然后安靜地小時,同時父行程從STDIN讀取結果,同樣的技術也可用于管道輸出到外部程式:
open (PROGRAM, "|-")
or exec ("/usr/bin/progname", "$userinput");
print PROGRAM, "This is piped to /usr/bin/progname";
當需要管道時,這些形式的open()應該總是優先于直接管道open(),因為它們不穿過shell,現在假設我們將統計資料檔案轉換為格式良好的HTML頁面,為了方便起見,我們決定將它們存盤在顯示它們的Perl腳本所在的目錄中,
那么我們的open()陳述句可能如下所示:
open (STATFILE, "<$username.html");
當用戶傳遞給username=jdimov時,腳本顯示jdimov.html,
這里仍然有可能被攻擊,與C和C++不同,Perl不使用null位元組來終止字串,因此,字串 “jdimov\0blah"在大多數C庫呼叫僅僅解釋為"jdimov” ,但在Perl中仍然是 “jdimov\0blah”,
當Perl將包含null的字串傳遞給用C撰寫的內容時,問題就出現了,UNIX內核和大多數UNIX shell都是純C撰寫的,Perl本身主要也是用C撰寫的,
statscript.pl?username=statscript.pl%00
如果該腳本與我們的html檔案位于同一目錄中,那么我們可以使用此輸入來欺騙這個腳本,在這種情況下,可能不會對安全造成太大威脅,但對其他程式肯定會造成威脅,因為它允許攻擊者分析源代碼中的其他可利用弱點,
Backticks
在Perl中,讀取外部程式輸出的另一種方法是將命令包含在反標記中,因此,如果我們想將stats檔案的內容存盤在標量$stats中,我們可以執行以下操作:
$stats = `cat /usr/stats/$username`;
這是通過shell的,任何一行命令只要涉及到用戶輸入的腳本
都會面臨討論過的所有安全問題,
有幾種不同的方法可以使shell不解釋可能的元字符,但最安全的方法是不使用反勾號,
相反,打開一個STDIN的管道,然后fork并執行外部程式,就像我們使用open()所做的操作,
eval()和/e regex修飾符
eval()函式可以在運行時執行一段Perl代碼,回傳最后一條經過計算的陳述句的值,這種功能通常用于組態檔之類的東西,這些檔案可以寫成perl代碼,除非您完全信任要傳遞給eval()的代碼源,否則不要執行eval$userinput之類的操作,這也適用于正則運算式中的/e修飾符,該修飾符使Perl在處理運算式之前對其進行解釋,
黑名單過濾用戶輸入
本節討論的大多數問題的一種常見方法是過濾掉不需要的元字符和其他有問題的資料,例如,我們可以過濾掉所有句點,以避免向后遍歷目錄,同樣,每當我們看到無效字符時,也可能失敗,
這種策略被稱為“黑名單”,實際上是,如果某件事沒有被明確禁止,那么它一定是好的,一個更好的策略是“白名單”,它規定,如果某件事情沒有明確允許,那么它必須被禁止,
黑名單最重要的問題是很難保持完整和更新,您可能忘記過濾某個字符,或者您的程式可能必須切換到具有不同元字符集的不同shell,
與其過濾掉不需要的元字符和其他危險的輸入,不如只過濾合法的輸入,例如,如果用戶輸入包含字母、數字、點或@符號(用戶電子郵件地址中可能包含的字符)以外的任何內容,則以下代碼段將停止執行安全關鍵操作:
unless ($useraddress =~ /^([-\@\w.]+)$/) {
print "Security error.\n";
exit (1);
}
基本思想不是試圖撰寫一個要防范的特殊值串列,而是提出一個可以安全接受的值串列,當然,可接受輸入值的選擇會因應用程式而異,選擇可接受的值時,應當盡量減少其造成損害的可能性,
避開Shell
當然,我們應該盡量少使用shell,然而,這種技術使用得更廣,如果呼叫具有特殊序列的編輯器,可以確保不允許使用這些序列,一般通過使用Perl模塊,可以避免使用外部程式執行函式,這里可以參考CPAN(Perl的歸檔網路)
安全問題的其他來源
不安全的環境變數
用戶輸入確實是Perl語言的安全隱患之一,但是我們在撰寫perl程式時還需要考慮到其他因素,在shell下或由web服務器運行的腳本的一個常見弱點是不安全的環境變數,最常見的是路徑變數,當你僅通過指定外部應用程式或實用程式的相對路徑從代碼中訪問該外部應用程式或實用程式時,你會使整個程式及其運行系統的安全性受到影響,假設你有這樣一個system()呼叫:
system ("txt2html", "/usr/stats/jdimov");
為了使呼叫起作用,你假設txt2html檔案位于PATH變數中某個位置包含的目錄中,但是,如果發生這種情況,使攻擊者改變你的路徑,指向其他惡意程式的路徑,則使你的系統安全將不再得到保證,
為了防止這種情況發生,每個需要遠程安全意識的程式都應該從以下內容開始:
#!/usr/bin/perl -wT
require 5.001;
use strict;
$ENV{PATH} = join ':' => split (" ", << '__EOPATH__');
/usr/bin
/bin
/maybe/something/else
__EOPATH__
如果程式依賴于其他環境變數,則在使用前還應明確重新定義這些變數,另一個危險的變數(這一個更特定于Perl)是@INC陣列變數,它非常類似于PATH,只是它指定Perl應該在何處查找要包含在程式中的模塊,@INC的問題與PATH的問題幾乎相同有人可能會將您的Perl指向一個與您所期望的模塊具有相同名稱和執行相同操作的模塊,但它也會在后臺執行顛覆性操作,因此,@INC不應該比PATH更受信任,應該在包含任何外部模塊之前完全重新定義,
setuid腳本
通常,Perl程式以執行它的用戶的權限運行,通過創建腳本setuid,可以將其有效用戶ID設定為能夠訪問實際用戶不訪問的資源的用戶ID(即,包含程式的檔案的所有者ID),例如,passwd程式使用setuid獲取對系統密碼檔案的寫入權限,從而允許用戶更改自己的密碼,由于通過CGI介面執行的程式是以運行web服務器的用戶的權限運行的(通常是用戶“nobody”,其權限非常有限),CGI程式員經常試圖使用setuid技術讓他們的腳本執行他們無法執行的技巧,這可能有用,但也可能非常危險,首先,如果攻擊者找到了利用腳本弱點的方法,他們不僅可以訪問系統,還可以使用該腳本的有效UID(通常是“根”UID)的權限訪問系統,
為了避免這種情況,Perl程式應在任何檔案操作之前將有效UID和GID設定為行程的真實UID和GID:
\begin{verbatim}
$> = $< # set effective user ID to real UID.
$) = $( # set effective group ID to real GID.
CGI腳本應該始終以盡可能低的權限運行,
請注意,在setuid腳本中小心操作并不總能解決問題,某些作業系統的內核中存在bug,這使得setuid腳本本身就不安全,出于這個原因和其他原因,Perl在運行setuid或setgid腳本時會自動切換到特殊的安全模式(污染模式)
rand()函式
在確定性機器上生成亂數是一個非常重要的問題,在安全關鍵型應用程式中,亂數被廣泛用于從密碼生成到密碼學等許多重要任務,為此,生成的數字必須盡可能接近真正的亂數字,這使得攻擊者很難(但決不是不可能)預測演算法生成的未來數字,Perl rand()函式只呼叫標準C庫中相應的rand(3)函式,這個例行程式不是很安全,函式的作用是:根據稱為種子的初始值生成一系列偽亂數,給定相同的種子,使用rand()的程式的兩個不同實體將產生相同的隨機值,在許多C實作中,以及5.004之前的所有Perl版本中,如果未明確指定種子,則將根據系統計時器的當前值計算種子,該值不是隨機的,任何一個有自尊心的破解者都可以在給定的時間點上獲得一些關于rand()生成的值的資訊,從而準確地預測rand()接下來將生成的數字序列,從而獲得危害系統所必需的內容,
為了解決rand問題(),其中一個方案式使用Linux系統內置亂數生成器/dev/random and /dev/urandom
這樣得到的亂數字比rand()更好,但與其他函式一樣,他們都有缺點,這兩個設備的區別在于/dev/random當它的隨機池沒有亂數字時會停止提供亂數字,這時候,/dev/urandom 用戶能使用破譯生成的密碼數字,
競態條件Race Conditions
Race Conditions通常與緩沖區溢位是老手黑客的慣用手段,
unless (-e "/tmp/a_temporary_file") {
open (FH, ">/tmp/a_temporary_file");
}
如果不仔細看,我們會認為這是一個合法程式,不會造成任何傷害,我們首先檢查tmp臨時檔案是否存在,如果不存在,則使用Perl創建,
此程式問題在于,我們打開檔案,檢查是正確的,當然完全有可能這個檔案的狀態發生改變,假設檔案不存在,可以讓攻擊者有機可乘,例如執行命令:
ln -s /tmp/a_temporary_file /etc/an_important_config_file
現在,我們做的臨時檔案,實際上是為了配置重要檔案,因為我們相信臨時檔案不存在,因為echeck提示這個臨時檔案不存在,所以我們繼續打開它進行寫入,結果,我們配置的檔案被洗掉,
有些情況就像這樣,攻擊者可以搶占兩個操作并且更改某些東西,這種情況被稱為Race condition競態條件,
這意味著只使用一個系統呼叫來檢查一個檔案并同時創建檔案,而不給處理器切換另一個行程的機會,這并不代表不可能,
下面程式使用sysopen并且指定只寫模式,這樣即使我們的檔案被偽造,我們也不會在打開檔案進行寫入時殺死它,
unless (-e "/tmp/a_temporary_file") {
#open (FH, ">/tmp/a_temporary_file");
sysopen (FH, "/tmp/a_temporary_file", O_WRONLY);
}
關于Perl語言的緩沖區溢位
一般來說,Perl腳本不易受到緩沖區溢位的影響,因為Perl會在需要時動態擴展其資料結構,Perl跟蹤每個字串的大小和分配長度,在每次寫入字串之前,Perl確保有足夠的可用空間,并在必要時為該字串分配更多空間,
然而,在一些較舊的Perl實作中存在一些已知的緩沖區溢位情況,值得注意的是,5.003版可以利用緩沖區溢位進行攻擊,從早于5.004的Perl發行版構建的所有版本的suidperl(一個設計用于解決某些內核setuid腳本中的競爭條件的程式)都是可利用的(CERT Advisory CA–97.17),
總結
在研究Perl的這些方面并查看一些特征性示例時,我們的目標是培養一種直覺,幫助我們第一眼看到Perl腳本中的安全問題,避免在程式中犯類似的錯誤,
參考
The Perl Security man page.
Rain Forest Puppy, Perl CGI problems, Phrack Magazine, Vol. 9, Issue 55, File 07.
CGI Programming with Perl, 2nd Edition. O’Reilly and Associates. July 2000.
Matt Bishop, Michael Dilger. Checking for Race Conditions in File Accesses. Computing Systems 9(2), Spring 1996, pp. 131-152.
cgSecurity
the ITS4 Software Security Scanner.
The SANS institute’s list of top-ten most-critical internet security threats.
chinaUnix-zhang2428847702的ChinaUnix博客Perl腳本安全問題研究2013.07.24
The World Wide Web Security FAQ. Chapter 7 – Safe Scripting in Perl.
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/294635.html
標籤:其他