文件上传漏洞

文件上传漏洞通常是指“上传web脚本可以被服务器解析”的问题，也就是常说的webshell的问题，要完成这个攻击须要知足如下几个条件：

• 首先，上传的文件可以被web容器解释执行。因此文件上传后所在的目录要是web容器所覆盖到的路径。
• 其次，用户可以从web上访问这个文件，若是文件上传了，但用户没法经过web访问，或者没法使得web容器解释这个脚本，那么也不能称之为漏洞。
• 最后，用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容，则可能致使攻击不成功。

绕过文件上传检查功能：

• 在针对上传文件的检查中，不少应用都是经过判断文件名后缀的方法来验证文件的安全性的。若是攻击者手动修改了上传过程的POST包，在文件名后添加一个%00字节，则能够截断某些函数对文件名的判断。由于在许多语言的函数中，例如C、PHP等语言的经常使用字符串处理函数中，0x00被认为市终止符。好比应用本来只容许上传JPG图片，那么能够构造文件名为xxx.php[\0].JPG，其中[\0]为十六进制的0x00字符，.JPG绕过了应用的文件上传类型判断，但对于服务器来讲，此文件由于0x00字符的截断最终会变成xxx.php。
• 除了常见的检查文件名后缀的方法外，有的应用还会经过判断上传文件的文件头来验证文件的类型。在正常状况下，经过判断前10个字节，基本就能判断出一个文件的真实类型。浏览器的MIME Sniff功能实际上也是经过读取文件的前256个字节，来判断文件的类型。为了绕过此功能常见的攻击技巧是伪造一个合法的文件头，而将真实的PHP等脚本代码附在合法的文件头以后。但此时，仍须要经过PHP来解释此图片文件。

   

Apache文件解析问题：在Apache1.x、2.x中，对文件名的解析就存在如下特性。

Apache对于文件名的解析是从后往前解析的，直到碰见一个Apache认识的文件类型为止。好比

Phpshell.php.rar.rar.rar.rar

由于Apache不认识.rar这个文件类型，因此会一直遍历后缀到.php，而后认为这是一个PHP类型的文件。

 

IIS文件解析问题：IIS6在处理文件解析时，也出过一些漏洞。前面提到的0x00字符截断文件名，在IIS和Windows环境下出现过相似的漏洞，不过截断字符变成了分号“；”。

当文件名为abc.asp;xx.jpg时，IIS 6会将此文件解析为abc.asp，文件名被截断了，从而致使脚本被执行。好比：

http://www.target.com/path/xyz.asp;abc.jpg

除此漏洞外，ISS 6还出过一个漏洞，由于处理文件夹拓展名出错，致使将/*.asp/目录下全部文件都做为ASP文件进行解析。好比：

http://www.target.com/path/xyz.asp;abc.jpg

 

设计安全的文件上传功能：

1.文件上传的目录设置为不可执行

只要web容器没法解析该目录下的文件，即攻击者上传了脚本文件，服务器自己也不会受到影响。在实际应用中，不少大型网站的上传应用，文件上传后会放到独立的存储上，作静态文件处理。

2.判断文件类型

在判断文件类型时，能够结合使用MIME Type、后缀检查等方式。在文件类型检查中，强烈推荐白名单的方式。此外，对于图片的处理，可使用压缩函数或者resize函数，在处理图片的同时破坏图片可能包含的HTML代码。

3.使用随机数改写文件名和文件路径

文件上传若是要执行代码，则须要用户可以访问到这个文件。若是使用随机数改写了文件名和路径，将极大地增长攻击的成本。

4.单独设置文件服务器的域名

因为浏览器同源问题策略的关系，一系列客户端攻击将失效。