PHP知名开发框架Laravel,前几天在官方博客通报了一个高危SQL注入漏洞,这里简单分析下。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
首先,这个漏洞属于网站coding写法不规范,官方给了提示:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
但官方还是做了修补,升级最新版本可修复。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
我们先定位下这里:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
IlluminateValidationRule
官方推荐的写法是:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
Rule::unique('users')-<ignore($id), </ignore($id),
如果网站coding没有预先对$id的值做处理时,用户可以直接传递恶意数据给ignore函数,就会导致SQL注入。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
我们来跟一下函数:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
IlluminateValidationRules甥楮畱e.php class Unique { ... public function ignore($id, $idColumn = null) { if ($id instanceof Model) { return $this-<ignoremodel($id, $idcolumn);<br=""> } $this- $this- return $this; } </ignoremodel($id,>
这里我们不考虑把$id写成实例的情况,$id是用户可控的话,$idColumn直接写为空即可,最后赋值情况如下:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
$this-$this-
如果网站代码类似这样构造的话,黑客输入的值就属于可控状态:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
$id = $request-<input('id'); </input('id');
最后我们会走到这儿:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
IlluminateValidationRules甥楮畱e.php public function __toString() { ... ... }
我们看下关键的代码变更:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
IlluminateValidationRules甥楮畱e.php 【最新版】 public function __toString() { $this- } IlluminateValidationRules甥楮畱e.php V5.8.4 public function __toString() { $this- }
这里最新的代码,把$this-<ignore直接给addslashes了,以前这里是没有防护的。< p=""></ignore直接给addslashes了,以前这里是没有防护的。<>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
有趣的是,笔者对比了下diff,期间官方还试图对其他引用的地方进行过滤。最后还是在__toString处,进行了统一的过滤。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
最后提一句,后面的代码会进入DatabaseRule,进行后续SQL规则匹配。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html
这之后就没有再进一步处理,接着形成了SQL注入。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/bc/19119.html