最近公司有个老项目，最近老是出现某些FPM请求超时30秒，文件地址指向一个叫waf.php的文件，发现这是一个产自2013年的waf攻防脚本。

百度后发现该脚本在当时应该挺流行，很多人laravel、thinkphp乃至于各种cms都装上了这个脚本。

该脚本源码如下：
```php
/*云体检通用漏洞防护补丁v1.1
更新时间：2013-05-25
功能说明：防护XSS,SQL,代码执行，文件包含等多种高危漏洞
*/
header ('Content-Type:text/html;charset=utf-8' );

$args_arr=array(
'xss'=>"[\\'\\\"\\;\\*\\<\\>].*\\bon[a-zA-Z]{3,15}[\\s\\r\\n\\v\\f]*\\=|\\b(?:expression)\\(|\\<script[\\s\\\\\\/]|\\<\\!\\[cdata\\[|\\b(?:eval|alert|prompt|msgbox)\\s*\\(|url\\((?:\\#|data|javascript)",

'sql'=>"[^\\{\\s]{1}(\\s|\\b)+(?:select\\b|update\\b|insert(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+into\\b).+?(?:from\\b|set\\b)|[^\\{\\s]{1}(\\s|\\b)+(?:create|delete|drop|truncate|rename|desc)(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+(?:table\\b|from\\b|database\\b)|into(?:(\\/\\*.*?\\*\\/)|\\s|\\+)+(?:dump|out)file\\b|\\bsleep\$[\\s]*[\\d]+[\\s]*\$|benchmark\$([^\\,]*)\\,([^\\,]*)\$|(?:declare|set|select)\\b.*@|union\\b.*(?:select|all)\\b|(?:select|update|insert|create|delete|drop|grant|truncate|rename|exec|desc|from|table|database|set|where)\\b.*(charset|ascii|bin|char|uncompress|concat|concat_ws|conv|export_set|hex|instr|left|load_file|locate|mid|sub|substring|oct|reverse|right|unhex)\\(|(?:master\\.\\.sysdatabases|msysaccessobjects|msysqueries|sysmodules|mysql\\.db|sys\\.database_name|information_schema\\.|sysobjects|sp_makewebtask|xp_cmdshell|sp_oamethod|sp_addextendedproc|sp_oacreate|xp_regread|sys\\.dbms_export_extension)",

'other'=>"\\.\\.[\\\\\\/].*\\%00([^0-9a-fA-F]|$)|%00[\\'\\\"\\.]");

$referer=empty($_SERVER['HTTP_REFERER']) ? array() : array($_SERVER['HTTP_REFERER']);
$query_string=empty($_SERVER["QUERY_STRING"]) ? array() : array($_SERVER["QUERY_STRING"]);

check_data($query_string,$url_arr);
check_data($_GET,$args_arr);
check_data($_POST,$args_arr);
check_data($_COOKIE,$args_arr);
check_data($referer,$args_arr);
function W_log($log)
{
	$logpath=$_SERVER["DOCUMENT_ROOT"]."/log.txt";
	$log_f=fopen($logpath,"a+");
	fputs($log_f,$log."\r\n");
	fclose($log_f);
}
function check_data($arr,$v) {
 foreach($arr as $key=>$value)
 {
	if(!is_array($key))
	{ check($key,$v);}
	else
	{ check_data($key,$v);}
	
	if(!is_array($value))
	{ check($value,$v);}
	else
	{ check_data($value,$v);}
 }
}

该脚本看似一切正常，将请求的所有超全局变量的`key`、`value`通过正则都预先过滤一遍，然后我将这脚本拉至本地，用普通请求发布测试了性能消耗也不算太大，要用也勉强能用，那为啥有请求会在该脚本里超时了呢？

报错行数：`58`行。

这是循环执行所有正则过滤的脚本核心代码，忽然一想，正则本身效率就低，如果当数据量很大的时候，循环过滤脚本会不会就严重拖垮了性能。

想到这里我就在该脚本之前，写了一段`error_log`将所有请求的信息都记录到log中，通过对比超时的那段时间，因为是超时30秒，所以log查看要往回推断在`30-33`秒之间，排查之后，发现有几个请求的单条数据竟然达到了1M之多，78W的字节数。

将内容copy出来在服务器上模拟请求过滤，终于还原出了请求超时的场景，确定BUG点就是`58`行正则过滤的字符串太大，导致的处理超时。

反思：
```
1、当我们使用正则判断某些内容时，要保证该内容的长度不可无限长，否则将会留下被请求攻击的后门。

2、若无效大表单提交的站点，应该修改php.ini的post_max_size参数，限制POST请求大小

3、尽量不要偷懒，使用网络上waf攻防赛的开源脚本，因为这些脚本只是针对比赛时的注入参数过滤，并没有过多考虑性能的问题。
```

细思恐危：
```
若有心人通过代理ip发包，在业务高峰期模拟多个这样的大表单请求，数量也不用多，几十上百个请求就能把PHP-FPM的进程拖垮了。
```

同时关于该脚本的防护级别：
```
该脚本是通过正则表达式
[^\\{\\s]{1}(\\s|\\b)+(?:select\\b|update\\b|insert(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+into\\b).+?(?:from\\b|set\\b)|[^\\{\\s]{1}(\\s|\\b)+(?:create|delete|drop|truncate|rename|desc)(?:(\\/\\*.*?\\*\\/)|(\\s)|(\\+))+(?:table\\b|from\\b|database\\b)|into(?:(\\/\\*.*?\\*\\/)|\\s|\\+)+(?:dump|out)file\\b|\\bsleep\$[\\s]*[\\d]+[\\s]*\$|benchmark\$([^\\,]*)\\,([^\\,]*)\$|(?:declare|set|select)\\b.*@|union\\b.*(?:select|all)\\b|(?:select|update|insert|create|delete|drop|grant|truncate|rename|exec|desc|from|table|database|set|where)\\b.*(charset|ascii|bin|char|uncompress|concat|concat_ws|conv|export_set|hex|instr|left|load_file|locate|mid|sub|substring|oct|reverse|right|unhex)\\(|(?:master\\.\\.sysdatabases|msysaccessobjects|msysqueries|sysmodules|mysql\\.db|sys\\.database_name|information_schema\\.|sysobjects|sp_makewebtask|xp_cmdshell|sp_oamethod|sp_addextendedproc|sp_oacreate|xp_regread|sys\\.dbms_export_extension)
来进行SQL注入过滤的，从上面可以看出，他并没有过滤掉，SQL注入中最常用的单引号、双引号、表达式语句，还有show tables等关键语句。

经过我测试过，发现POST提交以下的表单内容，也能直接通过$_POST、$_GET变量。前提是你直接通过$_POST、$_GET变量读取参数，不使用框架的请求变量获取方法。

请求1：1" OR name <> 1"
请求2：show tables;
```

已有0条评论

添加新评论☺

如果认为本文对您有所帮助请赞助本站

支付宝扫一扫赞助

已有0条评论

添加新评论☺