近日，Imperva 公司發(fā)布了九月黑客情報(bào)行動報(bào)告――《PHP SuperGlobals：超級難題》(PHPSuperGlobals: Supersized Trouble)，對近期針對PHP應(yīng)用發(fā)起的攻擊進(jìn)行了深入分析，包括涉及PHP “SuperGlobal”參數(shù)的攻擊，并進(jìn)一步分析了攻擊活動的一般特性和萬維網(wǎng)整體完整性的意義。

Imperva公司首席技術(shù)官Amichai Shulman表示：“受到攻擊的主機(jī)可被用作僵尸奴隸來攻擊其他服務(wù)器，因此針對PHP應(yīng)用發(fā)起的攻擊可能會影響到整個網(wǎng)絡(luò)的安全與健康。這些攻擊將產(chǎn)生非常嚴(yán)重的后果，因?yàn)镻HP平臺是最常用的網(wǎng)絡(luò)應(yīng)用開發(fā)平臺，為80%以上的網(wǎng)站提供支持，其中包括Facebook和維基百科。很顯然，現(xiàn)在安全社區(qū)必須更多地關(guān)注這個問題。”

該報(bào)告還發(fā)現(xiàn)，黑客將高級攻擊技術(shù)融合于簡單腳本的能力日益增加。同時，報(bào)告認(rèn)為，PHP SuperGlobals能夠?yàn)楣魩砀咄顿Y回報(bào)，因此成為黑客攻擊的主要目標(biāo)。

PHP SuperGlobal參數(shù)在黑客社區(qū)日益受到歡迎，因?yàn)樗鼈兛梢詫⒍鄠€安全問題整合于同一個高級網(wǎng)絡(luò)威脅，從而破壞應(yīng)用邏輯、損害服務(wù)器，造成欺詐交易和數(shù)據(jù)盜竊。Imperva研究團(tuán)隊(duì)注意到，在一個月的時間里，每項(xiàng)應(yīng)用平均遭受144次包含SuperGlobal參數(shù)攻擊路徑的攻擊。此外，研究者還發(fā)現(xiàn)攻擊活動可持續(xù)五個月以上，在請求高峰期，每項(xiàng)應(yīng)用每分鐘將遭受多達(dá)90次攻擊。

該報(bào)告的要點(diǎn)與建議包括：

· 如密鑰暴露于第三方基礎(chǔ)設(shè)施，則需要采用“撤退”型安全模式：該報(bào)告發(fā)現(xiàn)，得到廣泛使用的PhpMyAdmin(PMA)工具存在薄弱環(huán)節(jié)，該工具用于在PHP環(huán)境下管理MySQL數(shù)據(jù)庫。因?yàn)樵摴ぞ呓?jīng)常與使用 MySQL數(shù)據(jù)庫的其他應(yīng)用綁定在一起，因此它的薄弱環(huán)節(jié)會使服務(wù)器受到影響，即使管理員并未使用該工具，服務(wù)器也會受到代碼執(zhí)行攻擊，導(dǎo)致整個服務(wù)器被接管。為解決這個問題，建議采用 “撤退”型安全模式。

· 最好采用積極安全模式：積極安全機(jī)制為各個資源規(guī)定了可使用的參數(shù)名稱，只有這種模式才能防止攻擊者利用外部變量操縱薄弱環(huán)節(jié)，這種攻擊使所有人都能使用相同的內(nèi)部變量名稱發(fā)送外部參數(shù)，從而覆蓋原來的內(nèi)部變量值。

· 黑客的技術(shù)日漸高明：Imperva研究者發(fā)現(xiàn)，攻擊者能夠發(fā)起復(fù)雜攻擊，并將其整合為簡單易用的工具。不過，在表現(xiàn)出強(qiáng)大攻擊能力的同時，PHP攻擊法也存在缺陷。一種能夠探測并消除某個攻擊階段的應(yīng)用安全解決方案能使整個攻擊無功而返。

· 應(yīng)屏蔽請求中的SuperGlobal參數(shù)：這些參數(shù)沒有任何理由出現(xiàn)在請求之中;因此應(yīng)被禁止。

報(bào)告全文:http://www.imperva.com/download.asp?id=421