近日,Imperva 公司发布了九月黑客情报行动报告――《PHP SuperGlobals:超级难题》(PHPSuperGlobals: Supersized Trouble),对近期针对PHP应用发起的攻击进行了深入分析,包括涉及PHP “SuperGlobal”参数的攻击,并进一步分析了攻击活动的一般特性和万维网整体完整性的意义。
Imperva公司首席技术官Amichai Shulman表示:“受到攻击的主机可被用作僵尸奴隶来攻击其他服务器,因此针对PHP应用发起的攻击可能会影响到整个网络的安全与健康。这些攻击将产生非常严重的后果,因为PHP平台是最常用的网络应用开发平台,为80%以上的网站提供支持,其中包括Facebook和维基百科。很显然,现在安全社区必须更多地关注这个问题。”
该报告还发现,黑客将高级攻击技术融合于简单脚本的能力日益增加。同时,报告认为,PHP SuperGlobals能够为攻击带来高投资回报,因此成为黑客攻击的主要目标。
PHP SuperGlobal参数在黑客社区日益受到欢迎,因为它们可以将多个安全问题整合于同一个高级网络威胁,从而破坏应用逻辑、损害服务器,造成欺诈交易和数据盗窃。Imperva研究团队注意到,在一个月的时间里,每项应用平均遭受144次包含SuperGlobal参数攻击路径的攻击。此外,研究者还发现攻击活动可持续五个月以上,在请求高峰期,每项应用每分钟将遭受多达90次攻击。
该报告的要点与建议包括:
· 如密钥暴露于第三方基础设施,则需要采用“撤退”型安全模式:该报告发现,得到广泛使用的PhpMyAdmin(PMA)工具存在薄弱环节,该工具用于在PHP环境下管理MySQL数据库。因为该工具经常与使用 MySQL数据库的其他应用绑定在一起,因此它的薄弱环节会使服务器受到影响,即使管理员并未使用该工具,服务器也会受到代码执行攻击,导致整个服务器被接管。为解决这个问题,建议采用 “撤退”型安全模式。
· 最好采用积极安全模式:积极安全机制为各个资源规定了可使用的参数名称,只有这种模式才能防止攻击者利用外部变量操纵薄弱环节,这种攻击使所有人都能使用相同的内部变量名称发送外部参数,从而覆盖原来的内部变量值。
· 黑客的技术日渐高明:Imperva研究者发现,攻击者能够发起复杂攻击,并将其整合为简单易用的工具。不过,在表现出强大攻击能力的同时,PHP攻击法也存在缺陷。一种能够探测并消除某个攻击阶段的应用安全解决方案能使整个攻击无功而返。
· 应屏蔽请求中的SuperGlobal参数:这些参数没有任何理由出现在请求之中;因此应被禁止。
报告全文:http://www.imperva.com/download.asp?id=421
