php - 这个脚本有多安全(强化)？

Question

下面的脚本 test.php 旨在放置在我所有 wordpress 站点的特定目录中。它的作用是抓取下面$source地址的文件，解压到它所在的目录下。这就是它的全部意图。

例如，我将在我的中央服务器上有一个仪表板界面，其中列出了存在此脚本的所有网站。然后，我将执行一个 cURL 例程，该例程遍历每个站点并对该脚本执行调用，有效地将更新文件同时发送给所有站点。

调用是这样的...

...processing site 1 update...
http://targetsite1.com/somedeepdirectory/test.php?query=updates.zip

...processing site 2 update...
http://targetsite2.com/somedeepdirectory/test.php?query=updates.zip

...etc until all my sites have been updated.

我的问题是 (1) 这个脚本的安全性(强化)程度如何。以及 (2) 我应该进行哪些检查才能使更多...

我在想，至少我会限制 myquery 的字符数，并检查 myquery 中的负载是否存在恶意的、意外的文件类型？

<?php

//测试.PHP

$source = 'http://mycentralserver.com/protected/'.$_GET['myquery'];
$target = '.';

$out_file = fopen(basename($source), 'w');
$in_file = fopen($source, 'r');
while ($chunk = fgets($in_file)) {
    fputs($out_file, $chunk);
}
fclose($in_file);
fclose($out_file);

$zip = new ZipArchive();
$result = $zip->open(basename($source));
if ($result) {
    $zip->extractTo($target);
    $zip->close();
}

?>

Answer 1

此脚本在当前状态下的安全性非常好。我确实有一些担忧。在任何情况下，您都不得意外下载 .php 文件并将其存储在您的网站根目录中。这是此脚本可能发生的最糟糕的事情，因为它是一个远程代码执行漏洞。文件应下载到特定目录，如果您担心其他人访问此文件，您应该在该文件夹的 .htaccess 中执行“拒绝所有人”。如果此脚本中有任何错误，您应该删除下载的文件。事实上，我建议尽快删除下载的文件。

我担心的是脚本应该优雅地出错。你应该检查以确保你已经获得了你正在寻找的东西。即使该文件不是 .php 文件，它也可以包含 php 代码 <?php ?>然后可以包含()'ed，这会将本地文件包含(LFI)漏洞转变为完全成熟的远程代码执行。

在安全的 php 配置中，allow_url_fopen 应该关闭并且 PhpInfoSec 同意我的观点。这意味着 fopen() 不能用于 HTTP。 allow_url_fopen 默认启用，我在所有生产系统上禁用它。原因是因为我在 Coppermine Photo gallery 中亲自编写了一个远程代码执行漏洞，利用了这种不安全的默认设置。 CURL 应该始终用于 PHP 中的 HTTP，它更安全、更稳定。