近日，Imperva 公司發(fā)布了九月黑客情報(bào)行動(dòng)報(bào)告――《PHP SuperGlobals：超級(jí)難題》(PHPSuperGlobals: Supersized Trouble)，對(duì)近期針對(duì)PHP應(yīng)用發(fā)起的攻擊進(jìn)行了深入分析，包括涉及PHP “SuperGlobal”參數(shù)的攻擊，并進(jìn)一步分析了攻擊活動(dòng)的一般特性和萬(wàn)維網(wǎng)整體完整性的意義。

Imperva公司首席技術(shù)官Amichai Shulman表示：“受到攻擊的主機(jī)可被用作僵尸奴隸來(lái)攻擊其他服務(wù)器，因此針對(duì)PHP應(yīng)用發(fā)起的攻擊可能會(huì)影響到整個(gè)網(wǎng)絡(luò)的安全與健康。這些攻擊將產(chǎn)生非常嚴(yán)重的后果，因?yàn)镻HP平臺(tái)是最常用的網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)平臺(tái)，為80%以上的網(wǎng)站提供支持，其中包括Facebook和維基百科。很顯然，現(xiàn)在安全社區(qū)必須更多地關(guān)注這個(gè)問(wèn)題。”

該報(bào)告還發(fā)現(xiàn)，黑客將高級(jí)攻擊技術(shù)融合于簡(jiǎn)單腳本的能力日益增加。同時(shí)，報(bào)告認(rèn)為，PHP SuperGlobals能夠?yàn)楣魩?lái)高投資回報(bào)，因此成為黑客攻擊的主要目標(biāo)。

PHP SuperGlobal參數(shù)在黑客社區(qū)日益受到歡迎，因?yàn)樗鼈兛梢詫⒍鄠€(gè)安全問(wèn)題整合于同一個(gè)高級(jí)網(wǎng)絡(luò)威脅，從而破壞應(yīng)用邏輯、損害服務(wù)器，造成欺詐交易和數(shù)據(jù)盜竊。Imperva研究團(tuán)隊(duì)注意到，在一個(gè)月的時(shí)間里，每項(xiàng)應(yīng)用平均遭受144次包含SuperGlobal參數(shù)攻擊路徑的攻擊。此外，研究者還發(fā)現(xiàn)攻擊活動(dòng)可持續(xù)五個(gè)月以上，在請(qǐng)求高峰期，每項(xiàng)應(yīng)用每分鐘將遭受多達(dá)90次攻擊。

該報(bào)告的要點(diǎn)與建議包括：

· 如密鑰暴露于第三方基礎(chǔ)設(shè)施，則需要采用“撤退”型安全模式：該報(bào)告發(fā)現(xiàn)，得到廣泛使用的PhpMyAdmin(PMA)工具存在薄弱環(huán)節(jié)，該工具用于在PHP環(huán)境下管理MySQL數(shù)據(jù)庫(kù)。因?yàn)樵摴ぞ呓?jīng)常與使用 MySQL數(shù)據(jù)庫(kù)的其他應(yīng)用綁定在一起，因此它的薄弱環(huán)節(jié)會(huì)使服務(wù)器受到影響，即使管理員并未使用該工具，服務(wù)器也會(huì)受到代碼執(zhí)行攻擊，導(dǎo)致整個(gè)服務(wù)器被接管。為解決這個(gè)問(wèn)題，建議采用 “撤退”型安全模式。

· 最好采用積極安全模式：積極安全機(jī)制為各個(gè)資源規(guī)定了可使用的參數(shù)名稱，只有這種模式才能防止攻擊者利用外部變量操縱薄弱環(huán)節(jié)，這種攻擊使所有人都能使用相同的內(nèi)部變量名稱發(fā)送外部參數(shù)，從而覆蓋原來(lái)的內(nèi)部變量值。

· 黑客的技術(shù)日漸高明：Imperva研究者發(fā)現(xiàn)，攻擊者能夠發(fā)起復(fù)雜攻擊，并將其整合為簡(jiǎn)單易用的工具。不過(guò)，在表現(xiàn)出強(qiáng)大攻擊能力的同時(shí)，PHP攻擊法也存在缺陷。一種能夠探測(cè)并消除某個(gè)攻擊階段的應(yīng)用安全解決方案能使整個(gè)攻擊無(wú)功而返。

· 應(yīng)屏蔽請(qǐng)求中的SuperGlobal參數(shù)：這些參數(shù)沒(méi)有任何理由出現(xiàn)在請(qǐng)求之中;因此應(yīng)被禁止。

報(bào)告全文:http://www.imperva.com/download.asp?id=421