《白帽子讲 Web 安全》之开发语言安全深度解读

例如，假设在一个用户权限验证的 PHP 脚本中，存在一个未初始化的关键变量 $admin，正常情况下它应该在特定逻辑中被赋值为true或false来判断用户是否为管理员。但由于register_globals = On，攻击者可以通过构造一个恶意的 GET 请求，如[Example Domain](http://example.com?admin=true "Example Domain")，直接篡改$ admin变量的值，从而实现非预期的执行逻辑，甚至可能导致越权访问，获取管理员权限。从安全角度出发，现代 PHP 开发早已摒弃了这种危险的配置方式，建议始终将register_globals设置为Off。

1.2空字节问题

PHP 在执行文件操作时，会调用底层的 C 语言库。C 语言的字符串以**空字节（\0）**作为结束标志，然而 PHP 的字符串结构与之不同。当 PHP 字符串中出现空字节时，就会引发严重问题。

例如，假设存在一个文件上传功能，代码意图将用户上传的文件保存到uploads/目录下，文件名由用户输入并拼接在路径后。如果攻击者在文件名中插入空字节，如test.php\0.jpg，PHP 底层调用 C 语言库进行文件操作时，获取的字符串会在空字节处截断。原本应该保存uploads/test.php\0.jpg的文件，实际可能被保存为uploads/test.php，这就导致攻击者可以绕过文件类型检查，上传恶意的 PHP 文件，进而获取服务器权限。值得庆幸的是，PHP 5.3 版本修复了这一漏洞，极大地提升了文件操作的安全性。

1.3弱类型

PHP 的一大特点是定义变量时无需显式指定类型，变量的值可以在运行过程中自由改变类型。在进行变量相等判断时，PHP 提供了**严格比较（===）和松散比较（==）**两种方式。松散比较在某些情况下会产生意想不到的结果。例如：

php 复制代码

$a = "1";

$b = 1;

var_dump($a == $b); // true

var_dump($a === $b); // false

在这个例子中， $a是字符串类型，$ b是整型，但在松散比较时，PHP 会自动进行类型转换，导致两者被判断为相等。在安全敏感的场景中，如密码验证，若使用松散比较，可能会让攻击者有机可乘。因此，为了确保代码的安全性，在 PHP 开发中应尽量明确变量类型，并优先使用严格比较。

1.4反序列化

在 PHP 开发中，对象序列化存储是一种常见的操作，它将对象转换为可存储或传输的格式。然而，如果对不可信数据进行反序列化，就如同打开了一个潘多拉魔盒。攻击者可以精心构造恶意对象，利用对象的魔术方法在特定时机自动调用的特性，执行任意命令。例如，假设存在一个包含用户信息的类User，其中定义了一个__destruct魔术方法用于清理资源：

php 复制代码

class User {

public $name;

public $email;

public function __destruct() {

// 假设这里执行一些文件操作

file_put_contents('log.txt', "User $this->name logged out\n");

}

}

攻击者可以构造一个恶意的序列化字符串，通过反序列化操作，在__destruct方法中注入恶意代码，如修改系统文件或执行任意命令。为了防范这种风险，应避免对不可信数据进行反序列化操作，或者在反序列化前对数据进行严格的校验。

1.5安全配置

在过去的 PHP 版本中，安全模式是一种重要的安全防护机制。它可以对文件操作、变量操作等行为进行限制，例如限制 PHP 脚本只能访问特定目录下的文件，防止恶意脚本对系统文件进行非法读写。

然而，从 PHP 5.4 版本开始，安全模式不再被建议依赖。此外，PHP 还有一些其他重要的安全配置选项，如allow_url_include，若设置为On，PHP 脚本可以包含远程 URL 的文件，这可能导致远程代码执行风险，因此建议设置为Off ；disable_functions 可以禁用一些危险的函数，如eval、system等，防止攻击者利用这些函数执行恶意代码；LD_PRELOAD用于指定动态链接库的加载顺序，不当使用可能被攻击者利用来注入恶意代码；magic_quotes_gpc曾经用于自动转义用户输入数据中的特殊字符，防止 SQL 注入等攻击，但由于存在一些问题，已被移除。在现代 PHP 开发中，开发者需要根据项目需求和安全最佳实践，合理配置这些选项，以提升应用的安全性。

2Java 安全

2.1Security Manager

Java 的 Security Manager 是一个强大的安全策略定义工具 ，尤其在运行不可信代码时，启用 Security Manager 显得尤为重要。启用方式有两种，一种是通过指定策略文件，在启动 Java 应用时使用-Djava.security.policy参数指定策略文件路径，策略文件中详细定义了哪些操作是允许的，哪些是禁止的。例如：

java 复制代码

grant {

permission java.io.FilePermission "/tmp/*", "read,write";

};

上述策略表示允许应用对/tmp/目录下的文件进行读写操作。

另一种启用方式是在代码中直接调用System.setSecurityManager(new SecurityManager());。当应用执行的操作不符合策略定义时，就会抛出异常。不过，需要注意的是，从 Java 17 开始，Security Manager 的标准资源被移除，在未来的版本中可能会被完全删除，这也促使开发者寻找其他更可靠的安全防护机制。

2.2反射

Java 的反射机制赋予了开发者在运行时动态获取类的属性和方法，并调用对象属性和方法的强大能力。例如：

java 复制代码

Class<?> clazz = Class.forName("com.example.MyClass");

Object obj = clazz.newInstance();

Method method = clazz.getMethod("myMethod", String.class);

method.invoke(obj, "Hello");

然而，这种灵活性也带来了安全隐患。攻击者可以利用反射机制，在反序列化过程中，绕过正常的访问控制，调用一些敏感的方法或修改关键的属性。许多 Java 反序列化漏洞很大程度上依赖于反射特性，攻击者通过构造恶意的序列化数据，利用反射执行任意代码，获取系统权限。

2.3反序列化

在 Java 应用中，对象的序列化和反序列化操作广泛应用于对象的传输和存储。需要序列化的对象必须实现Serializable接口。在反序列化过程中，如果在Classpath中找不到对应的类，会抛出异常。但攻击者可以利用这一机制，构造恶意对象，利用反序列化执行任意命令。以 Apache Commons Collections 库中的 Transformer 接口相关漏洞为例，攻击者可以通过精心构造的序列化数据，利用 Transformer 接口的特性，在反序列化时执行恶意代码，如创建远程连接、读取敏感文件等。为了防范 Java 反序列化漏洞，开发者需要谨慎处理外部输入的序列化数据，避免对不可信数据进行反序列化操作，同时及时更新相关库的版本，修复已知的漏洞。

3Python 安全

3.1反序列化

Python 自带的pickle序列化库在处理对象序列化时非常方便，但也存在安全隐患。在pickle反序列化过程中，__reduce__方法可能会自动调用，攻击者可以利用这一特性构造恶意对象，执行任意命令。例如：

python 复制代码

import pickle

import os

class MaliciousObject:

def __reduce__(self):

    return (os.system, ('rm -rf /',))

malicious_obj = MaliciousObject()

serialized_data = pickle.dumps(malicious_obj)

如果将上述序列化数据进行反序列化操作，就会执行**rm -rf /**命令，删除系统中的所有文件。为了防御反序列化漏洞，开发者可以采取多种措施。首先，尽量选择高版本的pickle库，因为高版本通常修复了一些已知的安全问题。其次，可以定义过滤器，对反序列化的数据进行严格筛选，只允许反序列化安全的对象。还可以重写过滤方法，在反序列化前对数据进行全面检查。另外，对序列化数据进行签名校验也是一种有效的手段，确保数据在传输过程中未被篡改。

3.2代码保护

Python 作为一种解释型语言，在运行过程中有一个编译阶段，源代码会被编译成字节码并存储在.pyc文件中。然而，.pyc文件并不具备保密性，任何人都可以轻松获取并反编译，无法有效保护源代码。这对于一些商业应用或涉及敏感业务逻辑的项目来说，是一个需要关注的问题。为了在一定程度上保护 Python 代码，可以使用混淆工具对代码进行混淆处理，使反编译后的代码难以理解和修改。但需要注意的是，这种保护方式并非绝对安全，只是增加了攻击者反编译和篡改代码的难度。

4.JavaScript 安全

4.1第三方 JavaScript 资源

在现代 Web 应用中，加载第三方 JavaScript 资源是一种常见的做法，比如用于广告投放、社交分享 等功能。然而，使用第三方资源也伴随着诸多安全风险。第三方 JavaScript 代码可能存在安全漏洞，一旦被攻击者利用，就可能导致用户隐私泄露，如获取用户的浏览历史、地理位置等信息。攻击者还可能在第三方 JavaScript 代码中植入恶意攻击代码，当用户访问页面时，恶意代码被执行，对用户的设备或网络造成损害。为了避免这些影响，开发者可以尽量避免使用不可信的第三方 JavaScript 资源。如果必须使用，可以通过校验资源完整性的方式，确保资源在传输过程中未被篡改。例如，使用Subresource Integrity（SRI）技术，在 HTML 中引入 JavaScript 资源时，添加integrity属性，验证资源的哈希值：

javascript 复制代码

<script src="https://example.com/script.js" 
integrity="sha384-abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"></script>

此外，使用沙箱iframe隔离第三方 JavaScript 资源也是一种有效的防护手段，将第三方代码限制在一个独立的环境中运行，减少对主页面的影响。

4.2JavaScript 框架

随着 Web 应用交互的日益复杂，JavaScript 框架在开发中得到了广泛应用。然而，不安全的框架使用可能会引入安全漏洞。以jQuery 及其插件为例，曾经存在多个安全漏洞，如跨站脚本攻击（XSS）漏洞、代码注入漏洞 等。这些漏洞可能导致攻击者在用户浏览器中执行恶意脚本，窃取用户信息或进行其他恶意操作。开发者在使用 JavaScript 框架时，需要密切关注框架的官方发布信息，及时更新到最新版本，以修复已知的安全漏洞。同时，Web 漏洞扫描器也可以对前端组件进行漏洞检测，帮助开发者及时发现并解决潜在的安全问题。

5.Node.js 安全

Node.js 作为一种流行的 Web 服务端开发语言，其应用也可能存在各种安全漏洞。例如，eval函数在 Node.js 中可以执行字符串形式的 JavaScript 代码，如果使用不当，攻击者可以通过注入恶意代码，利用eval函数执行任意命令，获取服务器权限。在使用第三方模块时，Node.js 的开发者需要格外小心。第三方模块可以发布到 npm 仓库，由于 npm 仓库中的模块数量众多，质量和安全性参差不齐，有些模块可能存在安全漏洞，甚至包含恶意代码。开发者在使用第三方模块前，应仔细审查模块的来源和口碑，尽量选择知名、可靠的模块，并及时更新模块版本，以降低安全风险。

小结

不同的开发语言都有其独特的安全属性和特性，在 Web 安全领域，虽然很多安全做法逐渐趋于标准化，但每种语言的安全风险和防护重点依然存在差异。随着技术的不断发展，开发语言也在持续演进，像 PHP、Java 等语言在发展过程中，对一些不安全的特性或做法进行了调整和改进。开发者需要紧跟语言的发展趋势，深入了解所使用语言的安全特性和潜在风险，遵循安全最佳实践，采取有效的防护措施，确保 Web 应用的安全性。只有这样，才能在不断变化的 Web 安全环境中，为用户提供安全可靠的应用服务。

喜欢就点点赞和评论关注一起进步咯