계: Environment

이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.

PHP Misconfiguration: register_globals Enabled

Abstract

모든 환경, GET, POST, 쿠키 및 서버 변수를 전역으로 등록하도록 PHP를 구성하면 예상치 못한 동작이 나타나거나 공격자에게 문을 열어주게 됩니다.

Explanation

register_globals 옵션을 활성화하면 PHP가 모든 EGPCS(환경, GET, POST, 쿠키 및 서버) 변수를 전역으로 등록할 수 있습니다. 이는 모든 PHP 프로그램의 모든 범위에 접근할 수 있습니다. 이 옵션을 사용하면 프로그래머가 주로 사용하는 최초 값을 조금은 알아보기 힘든 프로그램을 작성하도록 하여 시작 환경에서 예상치 못한 동작을 일으키거나 악의적인 환경에 있는 공격자에게 문을 열어주게 됩니다. register_globals가 위험한 보안 해석으로 인정되어 이 옵션은 PHP 4.2.0에서 기본적으로 비활성화되었으며 PHP 6에서는 더 이상 사용되지 않거나 제거되었습니다.

예제 1: 다음 코드는 cross-site scripting에 취약합니다. 프로그래머는 $username 값이 서버에서 제어하는 세션에서 오지만 공격자가 요청 매개 변수로 $username의 악의적인 값을 제공할 수 있다고 가정합니다. register_globals가 활성화되면 이 코드에 공격자가 전송한 악의적인 값이 생성된 동적 HTML 콘텐트로 포함됩니다.


<?php
if (isset($username)) {
    echo "Hello <b>$username</b>";
} else {
    echo "Hello <b>Guest</b><br />";
    echo "Would you like to login?";

}
?>

References

[1] M. Achour et al. PHP Manual

[2] Artur Maj Securing PHP

[3] Standards Mapping - Common Weakness Enumeration CWE ID 473

[4] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[5] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[6] Standards Mapping - OWASP Top 10 2004 A10 Insecure Configuration Management

[7] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration

[8] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[9] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[10] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.10

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.10

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.10

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.10

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[18] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[19] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[20] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[21] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)

desc.php.php_misconfiguration_register_globals