Собираем
информацию
по крупицам

RSS подписка

Подпишитесь на новости сайта по RSS

Проекты / Код

Web-разработка

Web Code
03-08-2010
01:30:42

Официальная страница / Official page

 

Web Code - это среда безопасного выполнения алгоритмической части PHP-кода, для PHP4.

 

Требования: PHP4, разрешенный tokenizer

Лицензия: GPL v.3

Скачать: Web Code v.0.22

 

Чтобы понять, что это такое, приведу сообщение, которое я разместил в 2006 году на ряде сайтов, посвященных компьтерной безопасности.

 

 

-----8<-----

 

Страшный сон администратора уже реальность.

 

Представьте, что вам необходимо разрешить любому человеку выполнить на вашем сайте произвольный PHP код. Дикость? Конечно. Но примем за основу то, что есть некий проект, в котором необходимо обеспечить безопасное выполнение произвольного PHP-кода на строне сервера.

 

То есть, задача - позволить выполнять на сайте произвольный PHP код, который может добавить и выполнить любой пользователь интернета.

 

Насколько вы понимаете, такой веб-сервис - потенциальная дыра в системе безопасности. Причем, сделать все нужно не через экзотическую систему виртуальной машины PHP5 из расширения PECL, а более простыми средствами, доступными в PHP4.

 

Есть одно облегчающее обстоятельство. В выполняемом PHP-коде нужно разрешить выполнять только:

  • алгоритмическую часть (без ООП), 
  • математические функции, 
  • функции вывода типа echo или print.

Обсуждение реализации такого сервиса, можно почитать здесь:

 

http://phpclub.ru/talk/showthread.php?s=&threadid=81551&perpage=20&pagenumber=1

 

В результате, сервис был сделан, и теперь, в целях проверки, я приглашаю всех желающих попробовать взломать эту чудо-разработку. Думаю, не перевелись еще на Руси люди, которым это будет интересно. Все запущено на FreeBSDApache, PHP 4, SAFE MODE не включен.

 

Страничка сервиса находится здесь http://xi.net.ru/sandbox/webcode.php

 

На страничке расположены поле для кода и кнопка "Выполнить". Вы можете добавлять любой PHP-код, и если система посчитает его безопасным, он будет запущен на выполнение на сервере, а в окно браузера будет выдан результат.

 

Если система посчитает код опасным, будет выдано предупреждение с указанием опасной строки и конструкции в ней.

 

Скопируйте, например, такой код, и запустите его на выполнение

 

$i=3;

$j=5;

echo $i+$j;

 

В ответ будет выдано 8, т.е. система работает. Теперь нужно выяснить, насколько эта система безопасна.

 

 

Соглашения

 

- PHP код не нужно оформлять тегами начала-конца php-кода (<?, <?php, ?> и тому подобные), система сама их добавит.

- В PHP коде разрешено использовать только алгоритмические конструкции языка, математические функции, команды echo и print.

- Вы можете описывать свои функции и использовать их.

- Для задания строк используйте апостроф. Использование двойных кавычек и обратного апострофа запрещено.

- Использование переменных переменных ($$) запрещено.

- Использование объектно-ориентированной части языка PHP запрещено.

- После проверки, введеный код выполняется через функцию eval().

- Код не проверяется на ошибки в синтаксисе PHP.

- Код не проверяется на зацикленность.

- Код не проверяется на возможность выделения достаточной памяти

 

В данный момент проверяется именно валидатор кода. Поэтому других мер безопасности - защита от флуда и прочее, пока не реализовано. Пожалуйста, не нарушайте работу сервера тупым JavaScript флудом и другими нагружающими поделками.

 

 

Проверка валидатора

(то, ради чего все и затевалось)

 

В данный момент нужно выяснить главную вещь - действительно ли валидатор выявляет все опасные конструкции. Для этого, в тот же каталог, где расположен скрипт webcode.php, помещен файл  msg.txt. Права на него назначены как 600, его содержимое могут читать php-скрипты, а непосредственно из интернета он не виден.

 

В файле msg.txt находится сообщение, которое необходимо каким-либо образом попытаться прочитать. Вы можете использовать любые технические методы взлома. Но обратите внимание, социальный хак хостера - это не круто . Взлом через сниффинг пароля на админку - за взлом webcode.php не считается.

 

Если вам удасться прочитать содержимое файла msg.txt, пожалуйста, пришлите мне текст этого файла, и последовательность ваших действий. При нахождении дырки просьба сильно не резвиться на сервере, файлы не уничтожать. Если охота порезвиться, ограничтесь пожалуйста дефейсом.

 

Ваши замечания или отчеты об обнаруженных дырках присылайте пожалуйста на e-mail xintrea@gmail.com.

 

Информация так же размещена на PhpClub.ru, BugTraq.ru, SecurityLab.ru.

 

-----8<-----

 

 

Проверка кода на допустимось сделана через функции PHP-подсистемы tokenizer. Полученные в результате лексического анализа токены проверялись на недопустимые последовательности. Если обнаружена хоть одна недопустимая последовательность, код отклонялся от выполнения на сервере. Кроме того, было несколько дополнительных более простых проверок.

 

После запуска сервиса Web Code, было сделано три взлома в течении первой недели. После каждого взлома код исправлялся. После первой недели и трех исправлений, сервис проработал восемь месяцев, в течении которого взломов больше небыло. За всё время работы было допущено на выполнение чуть более 1500 скриптов. Затем, в связи с закрытием хостинга, сервис был отключен.

 

 

История взломов

 

Сервис включен 07.06.2006.

 

Взлом №1

Дата: 08.06.2006

Автор: Valyala

Код:

 

$a = 'file_get_contents';
echo ${'a'}('msg.txt');

 

Причина взлома: недокументированный синтаксис PHP. Предполагалось, что переменные переменных запрещены. Но выяснилось, что доступ к переменной переменной $$a можно получить с помощью синтаксической конструкции $('a').

 

 

Взлом №2

Дата: 09.06.2006

Автор: Paganoid

Код:

 

$lol = 'file_get_contents';
$mamba = 'lol';
echo $/*bad*/$mamba/*bad*/('msg.txt');

 

Причина взлома: проверяющая функция, перед проверкой токенов, удаляет незначащие токены-разделители. Токены-разделители - это пробелы, табуляции, переводы строк. Но небыло учтено то, что комментарии тоже являются незначащими токенами-разделителями.

 

 

Взлом №3

Дата: 14.06.2006

Автор: Paganoid

Код: Взлом через URL со специально искаженным кодом (использование символа 0Dh)

 

http://xi.net.ru/sandbox/webcode.php?httpcodetext=//$%0Decho%20file_get_contents(%27msg.txt%27);

 

Причина взлома: нарушение главного правила безопасности - что проверяем, 
то и запускаем. Проверка кода запускалась как:

 

checkcode(fileemulator($httpcodetext));

 

Выполнение кода запускалось как:

 

runcode($httpcodetext);

 

То есть, при выполнении, переменная $httpcodetext не обрабатывалась функцией fileemulator().

 

 

Сервис провисел на сайте еще несколько месяцев, больше взломов не было. Когда код стал неактуальным, он был открыт под свободной лицензией.

 



К списку проектов

Поделиться этой страницей



Внимание!


На этом сайте разрабатывается программа MyTetra и её родственные проекты. Доступны к просмотру следующие базы знаний:

 

База Xintrea (стр. 1)

База Rarrugas (стр. 1)

База Balas

База YellowRaven

База Yurons

База Lesnik757

База Shandor

База Sirrichar

База Anatolean (стр. 1)

База Аrmagedec

База SorokinRed

База Deadelf79

База Adgaver (стр. 1)

База Pipitos1983

База Soxsten (стр. 1)

База Silenn (стр. 1)

База Shlyapnikova - херомантия и ригидность

База Svoynickname (стр. 1)

База Larson227 (стр. 1)

База Velonski (стр. 1)

База BrokeRU (стр. 1)

База Mcold (стр. 1)

База Alensav (стр. 1)

База Consp11 (стр. 1)

База Kozlov-AE (стр. 1)

База Wwwlir (стр. 1)

База Duwaz (стр. 1)

 

Требуют доработки:

 

База Tairesh

База Ivnglkv

База Kolyag87

База Andyk101

База Garik456456

База Harpokrat

База SalexIzyh

База RuDennn (Bunny-Hop)

База Manakaden

База Vitvrn

База Fanrok

База Grimar

База_Juryak

База Nicolasomsk

База Azatserikbaev

База Shut913

 

Подробности на странице MyTetra Share.

 WebHamster.Ru
 Домик любопытного хомячка
Яндекс индекс цитирования
Почтовый ящик