PHP代码注入。我们有安全风险吗？

Question

我们有一个简单的 php 文件来捕获电子邮件。它将这些电子邮件放入 csv 文件（该文件不能由 php 执行）。最近有人成功入侵了我们的网站，这似乎是入口点之一，但我不明白这是怎么可能的。这是脚本：

$fh = fopen('cap.csv', 'a+');
fwrite($fh, "\r".$_GET['email']);
fclose($fh);

非常基本，对吧？你能想到利用这个吗？

Answer 1

是的，但可能不是您正在寻找的。

我唯一能做的就是：

1. 将任何内容添加到您的文件中，仅附加。
2. （可选/奖励）如果您没有保护文件并窃取所有电子邮件地址，请直接打开该文件。

它不允许我执行任何操作，或访问任何内容。 （除非你处理它并在其他地方造成泄漏）。但仍然要确保安全！

Answer 2

您向我们展示的代码只能用于将任何内容放入 csv 文件中（我假设您没有验证/验证 $_GET['email'] 变量），但您不能以这种方式注入并执行 PHP 代码。

也许您有一个可以处理被利用的 csv 文件的脚本。

Answer 3

对于给定的代码，我现在唯一能想到的是 NullByte 攻击向量（尽管我不确定它们是否适用于当前版本的 PHP 或什至适用于您的代码）。由于您使用的是 $_GET，因此通过电子邮件参数进行的任何攻击都应该在服务器的日志文件中可见。

检查您的日志文件中是否有任何可疑的电子邮件字符串，例如类似

http://example.com?email=foo\0somethingmalicious

的内容。

Answer 4

您发布的代码表明您没有对输入数据进行太多清理。因此，您可能在软件的其他部分也遇到类似的问题。

除此之外，即使您不在应用程序中执行 csv 文件，也可以在其中注入 PHP 代码。

因此，如果应用程序中存在另一个漏洞，无法正确检查输入数据，并且可能会被利用来包含服务器上的文件，然后包含有问题的 csv 文件，则可以执行远程代码。