我想知道您使用什么步骤来防止下载的插件被恶意下载?
比如wordpress做了什么来保证你下载的插件不会简单的执行unlink('/')
我假设它部分取决于下载者安装插件以使用他或她自己的判断力,但插件系统是否采取措施将运行 3rd 方插件的安全风险降至最低?
谢谢! 马特·穆勒
【问题讨论】:
标签: php security plugins wordpress
简单的答案:您不能以编程方式执行此操作。根本做不到。当然,Wordpress 有某种验证器来确定插件是否完全令人讨厌,但没有办法确定它是安全的。
今年夏天我是 Mozilla 的一名实习生,我正在开发一个验证器,用于在插件提交到 addons.mozilla.org 时对其进行扫描。我只能想象 Wordpress 有一个非常相似的工具。这个想法是该应用程序完全拒绝公然的恶意代码 (eval("evil nasty code");),而其余部分则通过一些简单的启发式方法进行分析。现有的算法会根据它在附加包中看到的内容标记一些潜在的危险信号,并将这些注释提交给编辑,然后由编辑审查代码。它实际上最终成为了一个人力过程,但该软件有助于处理很多繁重的工作。
Mozilla 验证器使用的一些技术:
你可以在这里查看代码:
http://github.com/mattbasta/amo-validator
希望这会有所帮助!
【讨论】:
unlink('/') 不会造成任何伤害,因为它只会删除文件,您必须使用 rmdir 或更准确地说是 recursive rmdir 实现。我不认为有任何方法可以防止恶意代码被执行,因为有很多方式是恶意的。您可以限制某些函数在 php.ini 中被调用,但这只会在一定程度上帮助您。例如,str_repeat 和 unserialize 是常用函数,但如果使用正确的参数调用它们,它们可以立即耗尽分配给 PHP 脚本的所有内存。但这只是一个例子,更邪恶的可以充当后门或通过电子邮件将所有登录信息发送给开发人员。如果您不想自己审核代码,我想最终您将不得不信任开发人员和社区。p>
【讨论】:
safe_mode 之类的东西和阻塞功能只能设置为影响整个安装,而不是它的一部分。仅从您信任的来源下载,并可能对可疑的eval() 和其他内容进行快速审核,这是最好的方法。
有一些 PHP 工具可以执行Static Source Code Analysis 以查找漏洞。 php的开源分析工具包括RATS和PHP-SAT。
如果您曾经使用过静态源代码分析,那么您就会知道这些工具会产生 TON 的误报和误报。没有源代码分析工具可以告诉你 100% 的天气或程序是否有后门或可能是恶意的。如果可以,那么我们就不会有太多网站被黑客入侵的问题了。 Wordpress 本身非常不安全,所有插件也是如此,这是因为错误,而不是恶意。
恶意代码可以被混淆、隐藏并采取多种形式。试图找到一个偶然的漏洞比故意的漏洞要容易得多。 PHP 中的后门可以像添加或删除 2 个字节一样简单。
删除 2 个字节:
$id=mysql_real_escape_string($id);
"select * from test where id=$id"
vs
"select * from test where id='$id'"
或添加 2 个字节:
`$_GET[b]`;
【讨论】: