【白帽子】变量覆盖漏洞

0x01 全局变量覆盖

• 变量若未被初始化（PHP中使用变量并不需要初始化），且能被用户控制，很可能导致安全问题
• 当register_globals=ON时，变量来源可能是各个地方
  通过$GLOBALS获取的变量，也可能导致变量的覆盖

if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});

这是一段禁用register_globals的代码

php中unset的用法

由于unset只会销毁局部变量，要销毁全局变量必须使用$GLOBALS
给出代码：

<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});

print $a;
print $_GET[b];
?>

这段代码$a未初始化，如果尝试注入"GLOBALS[a]"以覆盖全局变量时，将成功控制变量$a的值

unset($GLOBALS['bar']) //可以销毁全局变量

0x02 extract()变量覆盖

extract()函数能将变量从数组导入当前的符号表
int extract(array $var_array[,int $extract_type [,string $prefix]])
第二个参数$extract_type指定函数将变量导入符号表时的行为，最常见的两个值

• EXTR_OVERWRITE……如果变量名冲突，则覆盖已有变量
• EXTR_SKIP……跳过不覆盖
  安全的做法是确定register_globals=OFF后，在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖

0x03 import_request_variables变量覆盖

bool import_request_variables(string $types[,string $prefix])
import_request_variables()将GET、POST、Cookie中的变量导入到全局，第二个参数是为导入的变量添加的前缀，如果没有指定，则将覆盖全局变量
import_request_variables('G')
指定导入GET请求中的变量，没有规定前缀，从而导致变量覆盖

0x04 安全建议

• 确保register_globals=OFF,若不能自定义php.ini，则应该在代码中控制
• 熟悉可能造成变量覆盖的函数和方法，检查用户是否能控制变量的来源
• 养成初始化变量的好习惯