Топ-5 самых нашумевших багов в PHP

Топ-5 самых нашумевших багов в PHP

Уязвимость при загрузке файлов

Адвизори: bit.ly/MBmqSZ
Уязвимая версия: PHP Автор: Стефано ди Паола, 2004 году
Уязвимость позволяла загружать файлы с произвольным расширением в любые директории, если в имени загружаемого файла присутствовал символ «_». Баг не получил широкого распространения, так как вовремя был выпущен патч.

Уязвимость «ZEND_HASH_DEL_KEY_OR_INDEX»

Адвизори: bit.ly/doi4UA
Уязвимая версия: PHP Автор: Стефан Эссер, 2006 год
Печально известная ZHDKOI-уязвимость в свое время затронула такие продукты, как Joomla, phpBB, Wordpress и vBulletin. Ошибка заключалась в неправильной проверке ключей хеш-таблицы, содержащей указатели на значения переменных. Благодаря багу можно было сохранить переменные в локальном пространстве имен, несмотря на вызов unset(). При передаче во входящих данных предварительно вычисленного хеша от имени нужного GPC-параметра можно было обойти unset(), что в итоге нередко приводило к локальным/удаленным инклудам.

Уязвимость в PHP-функциях для работы с файловой системой

Адвизори: bit.ly/3zpJMN
Уязвимая версия: PHP Авторы: команда USH, 2009 год
После обнародования информации о данной уязвимости сеть захлестнула волна LFI- и RFI-атак. Благодаря этому багу при проведении инклудов появилась возможность избавиться от null-байта. Напомню, что при включенной директиве magic_quotes_gpc null-байт экранируется, что затрудняет реализацию LFI-RFI-атак. Цель использования «ядовитого» байта — отбросить расширение; с помощью нового способа этого можно было добиться с помощью последовательности слешей и точек, длина которой выходила за пределы значения MAXPATHLEN.

Уязвимость при сериализации данных сессий

Адвизори: bit.ly/KOzjVr
Уязвимая версия: PHP Автор: Стефан Эссер, 2010 год
В механизме сериализации сессий присутствовала ошибка, из-за которой было возможно внедрение в сессию произвольных сериализованных данных. Иными словами, уязвимость позволяла передать в unserialize() любые данные, что, в свою очередь, могло привести к вызову произвольного метода ранее инициализированного класса. Например, если веб-приложение работало на Zend Framework и неправильно обрабатывало входящие данные перед их использованием в _SESSION, то благодаря уязвимости можно было выполнить произвольный PHP-код через один из методов ZF.

Выполнение произвольного кода

Адвизори: bit.ly/LbpQqH
Уязвимая версия: PHP 5.3.9
Автор: Стефан Эссер, 2012 год
Начиная с версии 5.3.9 в PHP появился новый параметр конфигурации — max_input_vars, цель которого — ограничить количество входящих параметров и тем самым защитить PHP от Hash Collision DoS, отказа в обслуживании путем передачи большого количества GPC-параметров. Однако в коде была допущена ошибка, что позволяло выполнить произвольный код на целевой системе путем создания фейковой хеш-таблицы. Для этого требовалось отправить запрос, в котором количество параметров равнялось max_input_vars (по умолчанию 1000).

 

Материал спи...сан с Хакер.ру (кажыца)