Web应用安全之八种安全的文件上传方式

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种常见的要求，因为它有助于提高您的业务效率。在Facebook和Twitter等社交网络的Web应用程序，允许文件上传。也让他们在博客，论坛，电子银行网站，YouTube和企业支持门户，给机会给最终用户与企业员工有效地共享文件。允许用户上传图片，视频，头像和许多其他类型的文件。

 

Web应用安全之八种安全的文件上传方式

 

向最终用户提供的功能越多，Web应用受到攻击的风险和机会就越大，这种功能会被恶意用户利用，获得到一个特定网站的权限，或危及服务器的可能性是非常高的。

 

当在测试几个Web应用程序时，我们注意到，相当多的知名Web应用程序，不具备安全的文件上传形式。这些漏洞很容易被利用，我们可以访问这些Web应用程序的服务器托管到文件系统。在这篇文章中，我们为您介绍8种常见的方式，我们遇到过的安全文件上传表单。同时，还将展示一个恶意的用户，可以轻松地绕过这些安全措施。

 

案例1：没有任何验证的简单文件上传表单

 

一个简单的文件上传表单通常包含一个HTML表单和PHP脚本。HTML表单的形式呈现给用户，而需要文件上传功能的PHP脚本中包含的代码。这种形式和PHP脚本下面是一个例子：

 

HTML Form:

 

view source  

<form enctype="multipart/form-data" action="uploader.php" method="POST"> 

<input type="hidden" name="MAX_FILE_SIZE" value="100000" /> 

Choose a file to upload: <input name="uploadedfile" type="file" /><br /> 

<input type="submit" value="Upload File" /> 

</form> 

PHP Code:

 

<?php  

$target_path  =  "uploads/";  

$target_path  =  $target_path  .  basename($_FILES['uploadedfile']['name']);  

if (move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {  

echo "The file " . basename($_FILES['uploadedfile']['name']) . " has been uploaded";  

echo "There was an error uploading the file, please try again!";  

} else {  

}  

?> 

当PHP接收POST请求且编码类型是multipart/form-data，它会创建一个临时文件名随机的临时目录中(例如/ var/tmp/php6yXOVs)。 PHP也将填充全局数组$_FILES上传的文件的信息:

 

$ _FILES ['UploadedFile的'] ['名称']：在客户机上的文件的原始名称  

$ _FILES ['UploadedFile的'] ['类型']：文件的MIME类型  

$ _FILES ['UploadedFile的'] ['大小']：文件的大小（以字节为单位）  

$_FILES ['UploadedFile的']['不对tmp_name']：上传的文件存储在服务器上的临时文件名。 

PHP 函数move_uploaded_file将用户提供的临时文件移动到一个位置。在这种情况下，目的地是服务器根目录以下。因此，文件可以使 用的URL，如：http://www.domain.tld/uploads/uploadedfile.ext访问。在这个简单的例子中，有允许上传 的文件类型没有限制，因此攻击者可以上传一个PHP或NET带有恶意代码的文件，可导致服务器妥协。

 

这可能看起来像很幼稚的例子，但我们在一些Web应用中没有遇到这样的代码。

 

案例2：Mime类型验证

 

另 一个常见的错误Web开发人员确保文件上传表单时，只检查从PHP返回mime类型。当一个文件被上传到服务器，PHP将设置变 量$_FILES['UploadedFile']['type']所提供的Web浏览器客户端使用的MIME类型。然而，文件上传表单验证不能依赖于这 个值。恶意用户可以轻松地使用脚本或其他一些自动化的应用程序，允许发送HTTP POST请求，这让他送一个假的mime类型的文件上传。

 

案例3：限制危险的拓展

 

在另一个例子里，我们遇到了文件上传使用黑名单的做法，作为一项安全措施。从开发者收集制定的危险列表，如果正在上传的文件包含在列表中，访问会被拒绝。

 

使用危险的文件扩展名，其主要缺点之一是，它几乎不可能编制一份完整的清单，包括攻击者可以使用的所有可能的扩展名。例如如果代码运行在托管环境中，通常这样的环境让大量的脚本语言，如Perl，Python和Ruby等，列表可以是无穷无尽的。

 

恶意用户可以很容易地绕过该检查上传一个文件名为“.htaccess”，其中包含类似于下面的一行代码：

 

AddType application/x-httpd-php .jpg

 

上 面的代码行，指示ApacheWeb服务器执行jpg图片，好像他们是PHP脚本。攻击者现在可以上传一个jpg扩展名的文件，其中包含PHP代码。正如 下面的截图，通过web浏览器请求一个jpg文件，其中包含PHP的命令phpinfo()函数，它仍然是从Web服务器执行。

 

案例4: 双扩展名 (第1部分)

 

本案例中使用的安全策略和案例3中所使用的非常相近. 尽管方式换成了简单的检查文件名具有的扩展名, 开发者通过在文件名中查找 ‘.’ 字符并提取点号之后的字符串来得到文件扩展名.

 

绕过该途径的方法有点儿复杂, 但是仍然是现实的. 首先, 让我们看看 Apache 是怎么处理具有多重扩展名的文件的. Apache 手册中有如下一段陈述:

 

“文 件可以有多个扩展名, 这些扩展名的顺序一般情况下是无关紧要的.例如: 如果文件 welcome.html.fr 被映射为内容类型是 text/html ,语言是法语的话, 文件welcome.fr.html 将被映射为完全相同的内容. 如果一个以上的扩展名映射到同种类型的元信息上, 那么将使用最右边的那个, 除了语言和内容编码. 比如: .gif 的MIME类型是 image/gif , .html 的 MIME 类型是 text/html , 那么 welcome.gif.html 的MIME类型将是text/html .”

 

因此一个名为 ‘filename.php.123’ 的文件将会被解释为一个PHP文件并被执行.这仅限于最后的那个扩展名(本例中是 .123)没有在web服务器的 mime-types列表中被指定.web开发者通常不会意识到Apache还存在这么一个 ‘特性’, 出于某些原因来说这可能非常危险.知道了这个以后,一个攻击者可以上传一个名为 shell.php.123 的文件并绕过文件上传保护机制.后台脚本将会计算出最后的扩展名(.123)并作出该扩展名并不在危险的扩展名列表内的结论.话虽如此,想要预防某恶意用 户可能会使用的所有随机扩展名来上传一个文件到你的web服务器上是不可能的.

 

案例5: 双扩展名 (第2部分)

 

一个更好的增强文件上传表单的安全性的途径就是白名单机制. 在本例中, 开发者定义了一个 已知/可接受 的扩展名列表并且不允许使用未在名单中指定的扩展名.

 

然 而, 在某些情况下该途径不会像期待的方式那样工作. 当 Apache 被配置为执行 PHP 代码的时候, 存在两种方式来实现该机制: 使用 AddHandler 指令, 或者使用 AddType 指令. 如果 AddHandler 指令被使用, 所有包含 ‘.php’ 扩展名的文件名(例如: ‘.php’ , ‘.php.jpg’)均被作为 PHP 脚本来执行. 因此, 如果你的 Apache 配置文件包含如下一行的话, 你可能很容易受到攻击:

 

AddHandler php5-script .php

 

一个攻击者可以上传名为 ‘filename.php.jpg’ 的文件并绕过保护机制, 然后执行其中的代码.

 

案例 6: 检查图片头部

 

当 仅允许上传图片的时候, 开发者通常使用 PHP 的 getimagesize 函数来检测图片的头部信息. 该函数在被调用时将会返回图片的尺寸, 如果图片经验证为无效的, 也就是说图片头部信息不正确, 则会返回 false 值. 因此一个开发者一般会检查该函数是否返回 true 或 false, 并且通过该信息来验证上传的文件. 所以, 如果一个恶意用户试着上传一个内嵌有简单 PH 更新于：1个月前