文件上传漏洞

文件上传漏洞

用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

文件上传可能存在的安全问题：

（1）上传文件为 Web 脚本，服务器的 Web 容器解释并执行了该脚本，导致代码执行——webshell；

（2）上传文件是 Flash 的策略文件 crossdomain.xml，攻击者可以控制 Flash 在该域下的行为；

（3）上传文件是病毒、木马文件，攻击者用以诱骗用户或者管理员下载执行；

（4）上传文件是钓鱼图片或包含了脚本的图片，在某些版本的浏览器中被作为脚本执行，进而被用于欺诈。

webshell 形成的条件：

（1）上传的文件位于 Web 容器能够覆盖的目录，从而能够被 Web 容器解释执行；

（2）用户能够从 Web 上访问这个文件，从而触发 Web 容器解释执行上传的脚本；

另外，上传的文件内容不被破坏，比如安全检查、格式化、图片压缩等，确保上传的脚本可用。

在防御文件上传漏洞的时候切忌使用黑名单机制，因为该方法不全面、不可靠。

文件上传中的防与攻：

（1）防：上传时检测文件名后缀；攻：① 构造文件名 “filename.php.合法后缀”（原理：有些服务器端从左至右检测文件，将遇到的第一个 “.???” 作为文件后缀；有些 Web Server 对文件名的解析时从右往左解析的，直到遇见一个它认识的文件类型为止，比如 Apache）；② 构造文件名 “filename.php[].合法后缀”（原理：在大多语言中 “0x00” 或 “” 是终止符（0字节截断），这种形式的文件名可以绕过应用的上传文件类型判断，但对于服务器端，此文件会因为 0字节截断的问题，最终变成 filename.php）；③ 在 IIS 提供 web 服务的站点中，构造文件名 “filename1.php;filename2.合法后缀”（原理：在 IIS 和 Windows 环境下，字符 “;” 常被用作截断字符）；

（2）防：上传时检测文件头；攻：伪造合法的文件头，当 Web Server 将该文件当做脚本文件解析时攻击成功。

（3）用户配置未妥当配置 Web 服务系统的一些功能带来的安全隐患：① IIS 的 WebDav 中定义的 PUT、MOVE 方法。攻击者可以通过 OPTIONS 方法探测服务器支持的 HTTP 方法类型，如果支持 PUT，则使用 PUT 上传一个指定的文本文件，最后通过 MOVE 改写为脚本文件。② PHP 的 CGI 路劲解析问题：当访问 http://www.xxx.com/path/test.jpg/notexist.php 时，会将 test.jpg 当做 PHP 进行解析，其中 notexist.php 是不存在的文件。原因是，当 PHP 的配置选项 cgi.fix_pathinfo=1 时，在映射 URI 的时候将递归查询路径确认文件的合法性。notexist.php 是不存在的，所以将往前递归查询路径，直到检测到存在的 test.jpg 文件。此时 SCRIPT_FILENAME 为 /path/test.jpg，而 PATH_INFO 为 notexist.php，最终 test.jpg 被当做 PHP 文件进行解析。

（4）利用上传文件钓鱼：低版本的 IE 浏览器（IE6/7）会将图片文件当做 HTML 进行解析，不怀好意者可以将网页跳转的代码藏在图片里，然后将图片上传，然后传播该图片。查看该图片的用户将被跳转到一个恶意站点，掉进坏人的陷阱。

避免文件上传功能带来的安全问题

（1）文件上传的目录设置为不可执行；

（2）用白名单机制判断文件类型（文件后缀、文件头）；

（3）对上传的文件做更改文件名、压缩、格式化等预处理；

（4）单独设置文件服务器的域名。