Web應(yīng)用安全之八種安全的文件上傳方式
為了讓最終用戶將文件上傳到您的網(wǎng)站,就像是給危及您的服務(wù)器的惡意用戶打開(kāi)了另一扇門。即便如此,在今天的現(xiàn)代互聯(lián)網(wǎng)的Web應(yīng)用程序,它是一種常見(jiàn)的要求,因?yàn)樗兄谔岣吣臉I(yè)務(wù)效率。在Facebook和Twitter等社交網(wǎng)絡(luò)的Web應(yīng)用程序,允許文件上傳。也讓他們?cè)诓┛停搲娮鱼y行網(wǎng)站,YouTube和企業(yè)支持門戶,給機(jī)會(huì)給最終用戶與企業(yè)員工有效地共享文件。允許用戶上傳圖片,視頻,頭像和許多其他類型的文件。
向最終用戶提供的功能越多,Web應(yīng)用受到攻擊的風(fēng)險(xiǎn)和機(jī)會(huì)就越大,這種功能會(huì)被惡意用戶利用,獲得到一個(gè)特定網(wǎng)站的權(quán)限,或危及服務(wù)器的可能性是非常高的。
當(dāng)在測(cè)試幾個(gè)Web應(yīng)用程序時(shí),我們注意到,相當(dāng)多的知名Web應(yīng)用程序,不具備安全的文件上傳形式。這些漏洞很容易被利用,我們可以訪問(wèn)這些Web應(yīng)用程序的服務(wù)器托管到文件系統(tǒng)。在這篇文章中,我們?yōu)槟榻B8種常見(jiàn)的方式,我們遇到過(guò)的安全文件上傳表單。同時(shí),還將展示一個(gè)惡意的用戶,可以輕松地繞過(guò)這些安全措施。
案例1:沒(méi)有任何驗(yàn)證的簡(jiǎn)單文件上傳表單
一個(gè)簡(jiǎn)單的文件上傳表單通常包含一個(gè)HTML表單和PHP腳本。HTML表單的形式呈現(xiàn)給用戶,而需要文件上傳功能的PHP腳本中包含的代碼。這種形式和PHP腳本下面是一個(gè)例子:
HTML Form:
- view source
- <form enctype="multipart/form-data" action="uploader.php" method="POST">
- <input type="hidden" name="MAX_FILE_SIZE" value="100000" />
- Choose a file to upload: <input name="uploadedfile" type="file" /><br />
- <input type="submit" value="Upload File" />
- </form>
PHP Code:
- <?php
- $target_path = "uploads/";
- $target_path = $target_path . basename($_FILES['uploadedfile']['name']);
- if (move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
- echo "The file " . basename($_FILES['uploadedfile']['name']) . " has been uploaded";
- echo "There was an error uploading the file, please try again!";
- } else {
- }
- ?>
當(dāng)PHP接收POST請(qǐng)求且編碼類型是multipart/form-data,它會(huì)創(chuàng)建一個(gè)臨時(shí)文件名隨機(jī)的臨時(shí)目錄中(例如/ var/tmp/php6yXOVs)。 PHP也將填充全局?jǐn)?shù)組$_FILES上傳的文件的信息:
- $ _FILES ['UploadedFile的'] ['名稱']:在客戶機(jī)上的文件的原始名稱
- $ _FILES ['UploadedFile的'] ['類型']:文件的MIME類型
- $ _FILES ['UploadedFile的'] ['大小']:文件的大小(以字節(jié)為單位)
- $_FILES ['UploadedFile的']['不對(duì)tmp_name']:上傳的文件存儲(chǔ)在服務(wù)器上的臨時(shí)文件名。
PHP 函數(shù)move_uploaded_file將用戶提供的臨時(shí)文件移動(dòng)到一個(gè)位置。在這種情況下,目的地是服務(wù)器根目錄以下。因此,文件可以使 用的URL,如:http://www.domain.tld/uploads/uploadedfile.ext訪問(wèn)。在這個(gè)簡(jiǎn)單的例子中,有允許上傳 的文件類型沒(méi)有限制,因此攻擊者可以上傳一個(gè)PHP或NET帶有惡意代碼的文件,可導(dǎo)致服務(wù)器妥協(xié)。
這可能看起來(lái)像很幼稚的例子,但我們?cè)谝恍¦eb應(yīng)用中沒(méi)有遇到這樣的代碼。#p#
案例2:Mime類型驗(yàn)證
另 一個(gè)常見(jiàn)的錯(cuò)誤Web開(kāi)發(fā)人員確保文件上傳表單時(shí),只檢查從PHP返回mime類型。當(dāng)一個(gè)文件被上傳到服務(wù)器,PHP將設(shè)置變 量$_FILES['UploadedFile']['type']所提供的Web瀏覽器客戶端使用的MIME類型。然而,文件上傳表單驗(yàn)證不能依賴于這 個(gè)值。惡意用戶可以輕松地使用腳本或其他一些自動(dòng)化的應(yīng)用程序,允許發(fā)送HTTP POST請(qǐng)求,這讓他送一個(gè)假的mime類型的文件上傳。
案例3:限制危險(xiǎn)的拓展
在另一個(gè)例子里,我們遇到了文件上傳使用黑名單的做法,作為一項(xiàng)安全措施。從開(kāi)發(fā)者收集制定的危險(xiǎn)列表,如果正在上傳的文件包含在列表中,訪問(wèn)會(huì)被拒絕。
使用危險(xiǎn)的文件擴(kuò)展名,其主要缺點(diǎn)之一是,它幾乎不可能編制一份完整的清單,包括攻擊者可以使用的所有可能的擴(kuò)展名。例如如果代碼運(yùn)行在托管環(huán)境中,通常這樣的環(huán)境讓大量的腳本語(yǔ)言,如Perl,Python和Ruby等,列表可以是無(wú)窮無(wú)盡的。
惡意用戶可以很容易地繞過(guò)該檢查上傳一個(gè)文件名為“.htaccess”,其中包含類似于下面的一行代碼:
AddType application/x-httpd-php .jpg
上 面的代碼行,指示ApacheWeb服務(wù)器執(zhí)行jpg圖片,好像他們是PHP腳本。攻擊者現(xiàn)在可以上傳一個(gè)jpg擴(kuò)展名的文件,其中包含PHP代碼。正如 下面的截圖,通過(guò)web瀏覽器請(qǐng)求一個(gè)jpg文件,其中包含PHP的命令phpinfo()函數(shù),它仍然是從Web服務(wù)器執(zhí)行:
#p#
案例4: 雙擴(kuò)展名 (第1部分)
本案例中使用的安全策略和案例3中所使用的非常相近. 盡管方式換成了簡(jiǎn)單的檢查文件名具有的擴(kuò)展名, 開(kāi)發(fā)者通過(guò)在文件名中查找 ‘.’ 字符并提取點(diǎn)號(hào)之后的字符串來(lái)得到文件擴(kuò)展名.
繞過(guò)該途徑的方法有點(diǎn)兒復(fù)雜, 但是仍然是現(xiàn)實(shí)的. 首先, 讓我們看看 Apache 是怎么處理具有多重?cái)U(kuò)展名的文件的. Apache 手冊(cè)中有如下一段陳述:
“文 件可以有多個(gè)擴(kuò)展名, 這些擴(kuò)展名的順序一般情況下是無(wú)關(guān)緊要的.例如: 如果文件 welcome.html.fr 被映射為內(nèi)容類型是 text/html ,語(yǔ)言是法語(yǔ)的話, 文件welcome.fr.html 將被映射為完全相同的內(nèi)容. 如果一個(gè)以上的擴(kuò)展名映射到同種類型的元信息上, 那么將使用最右邊的那個(gè), 除了語(yǔ)言和內(nèi)容編碼. 比如: .gif 的MIME類型是 image/gif , .html 的 MIME 類型是 text/html , 那么 welcome.gif.html 的MIME類型將是text/html .”
因此一個(gè)名為 ‘filename.php.123’ 的文件將會(huì)被解釋為一個(gè)PHP文件并被執(zhí)行.這僅限于最后的那個(gè)擴(kuò)展名(本例中是 .123)沒(méi)有在web服務(wù)器的 mime-types列表中被指定.web開(kāi)發(fā)者通常不會(huì)意識(shí)到Apache還存在這么一個(gè) ‘特性’, 出于某些原因來(lái)說(shuō)這可能非常危險(xiǎn).知道了這個(gè)以后,一個(gè)攻擊者可以上傳一個(gè)名為 shell.php.123 的文件并繞過(guò)文件上傳保護(hù)機(jī)制.后臺(tái)腳本將會(huì)計(jì)算出最后的擴(kuò)展名(.123)并作出該擴(kuò)展名并不在危險(xiǎn)的擴(kuò)展名列表內(nèi)的結(jié)論.話雖如此,想要預(yù)防某惡意用 戶可能會(huì)使用的所有隨機(jī)擴(kuò)展名來(lái)上傳一個(gè)文件到你的web服務(wù)器上是不可能的.
案例5: 雙擴(kuò)展名 (第2部分)
一個(gè)更好的增強(qiáng)文件上傳表單的安全性的途徑就是白名單機(jī)制. 在本例中, 開(kāi)發(fā)者定義了一個(gè) 已知/可接受 的擴(kuò)展名列表并且不允許使用未在名單中指定的擴(kuò)展名.
然 而, 在某些情況下該途徑不會(huì)像期待的方式那樣工作. 當(dāng) Apache 被配置為執(zhí)行 PHP 代碼的時(shí)候, 存在兩種方式來(lái)實(shí)現(xiàn)該機(jī)制: 使用 AddHandler 指令, 或者使用 AddType 指令. 如果 AddHandler 指令被使用, 所有包含 ‘.php’ 擴(kuò)展名的文件名(例如: ‘.php’ , ‘.php.jpg’)均被作為 PHP 腳本來(lái)執(zhí)行. 因此, 如果你的 Apache 配置文件包含如下一行的話, 你可能很容易受到攻擊:
AddHandler php5-script .php
一個(gè)攻擊者可以上傳名為 ‘filename.php.jpg’ 的文件并繞過(guò)保護(hù)機(jī)制, 然后執(zhí)行其中的代碼.
案例 6: 檢查圖片頭部
當(dāng) 僅允許上傳圖片的時(shí)候, 開(kāi)發(fā)者通常使用 PHP 的 getimagesize 函數(shù)來(lái)檢測(cè)圖片的頭部信息. 該函數(shù)在被調(diào)用時(shí)將會(huì)返回圖片的尺寸, 如果圖片經(jīng)驗(yàn)證為無(wú)效的, 也就是說(shuō)圖片頭部信息不正確, 則會(huì)返回 false 值. 因此一個(gè)開(kāi)發(fā)者一般會(huì)檢查該函數(shù)是否返回 true 或 false, 并且通過(guò)該信息來(lái)驗(yàn)證上傳的文件. 所以, 如果一個(gè)惡意用戶試著上傳一個(gè)內(nèi)嵌有簡(jiǎn)單 PHP shell 的 jpg 文件的話, 該函數(shù)會(huì)返回 false 然后他將不允許上傳此文件. 然而, 即使這種方式也能被很容易的繞過(guò). 如果一個(gè)圖片在一個(gè)圖片編輯器內(nèi)打開(kāi), 就如 Gimp, 用戶就可以編輯圖片的注釋區(qū), 那兒就能插入 PHP 代碼, 就如下圖所示.
該圖片仍然有一個(gè)有效的頭部; 因此就繞過(guò)了 getimagesize 函數(shù)的檢查. 從下面截圖中可以看到, 當(dāng)一個(gè)普通的 web 瀏覽器請(qǐng)求該圖的時(shí)候, 插入到圖片注釋區(qū)的 PHP 代碼仍然被執(zhí)行了:
#p#
案例7:通過(guò).htaccess保護(hù)上傳文件夾
另一種流行的穿件安全的文件上傳表單的方法是適用.htaccess保護(hù)好上傳文件存放的文件夾。辦法是限制這個(gè)文件夾里的腳本文件的執(zhí)行。這種情形一下,一個(gè).htaccess文件一般包含下面的代碼:
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi
Options –ExecCGI
上面的是另一種形式的黑名單,本身并不是很安全。在PHP手冊(cè)中,move_uploaded_file一章中,有一個(gè)warning:若目標(biāo)文件已經(jīng)存在,則會(huì)覆蓋原文件。
因?yàn)樯蟼鞯奈募軌蚨視?huì)覆蓋已經(jīng)存在的同名文件,一個(gè)惡意用戶很輕易就能用他自己修改過(guò)的.htaccess替換掉原來(lái)的。這使得他可以執(zhí)行特定的將會(huì)幫助他危害服務(wù)器的腳本。
案例8:客戶端驗(yàn)證
另一種在文件上傳表單中常用的安全技術(shù)是在客戶端驗(yàn)證上傳的文件。一般而言,該技術(shù)在ASP.NET應(yīng)用中更通用一些,因?yàn)锳SP.NET提供了易用的驗(yàn)證控件。
這些驗(yàn)證控件允許開(kāi)發(fā)者對(duì)要上傳的文件做正則檢查,以查出待上傳的文件擴(kuò)展名是否在允許列表中。下面是一段來(lái)自微軟網(wǎng)站的示例代碼:
- <asp:FileUpload ID="FileUpload1" runat="server" />
- <asp:Button ID="Button1" runat="server" OnClick="Button1_Click" Text="Upload File" />
- <asp:Label ID="Label1" runat="server"></asp:Label>
- <asp:RegularExpressionValidator id="RegularExpressionValidator1" runat="server"
- ErrorMessage="Only mp3, m3u or mpeg files are allowed!"
- ValidationExpression="^(([a-zA-Z]:)|({2}w+)$?)((w[w].*))
- +(.mp3|.MP3|.mpeg|.MPEG|.m3u|.M3U)$" ControlToValidate="FileUpload1"></asp:RegularExpressionValidator>
- <asp:RequiredFieldValidator id="RequiredFieldValidator1" runat="server"
- ErrorMessage="This is a required field!"
- ControlToValidate="FileUpload1"></asp:RequiredFieldValidator>
-
這段ASP.NET代碼使用了驗(yàn)證控件,所以最終用戶只被允許上傳.mp3,.mpeg,或者.m3u文件到服務(wù)器。若文件類型和這三個(gè)指定的文件類型不一致,驗(yàn)證控件將跑出異常,文件也就不會(huì)被上傳。
由于這種文件驗(yàn)證是在客戶端完成的,惡意用戶很容易就能繞過(guò)這一檢查。寫(xiě)一段客戶端腳本來(lái)替換web應(yīng)用的驗(yàn)證腳本做驗(yàn)證并非不可能。不用web瀏覽器,入侵者可以使用可以發(fā)送HTTP POST請(qǐng)求的程序來(lái)實(shí)現(xiàn)上傳文件。#p#
推薦的解決方案
在允許上傳文件的網(wǎng)站和web應(yīng)用中,應(yīng)當(dāng)應(yīng)用下面的一系列最佳實(shí)踐方法。這些實(shí)踐方法將有助于你保證web應(yīng)用的上傳文件的安全性。
定義一個(gè).htaccess文件,只允許訪問(wèn)指定擴(kuò)展名的文件。
不要把.htaccess文件和上傳文件放在同一個(gè)目錄里,應(yīng)該放在父目錄里。
一個(gè)典型的只允許 gif, jpg, jpeg 和 png文件的.htaccess文件應(yīng)當(dāng)包含下面的代碼(根據(jù)你的需求做調(diào)整)。這樣也能阻止雙擴(kuò)展名攻擊.
- deny from all
- <Files ~ "^w+.(gif|jpe?g|png)$">
- order deny,allow
- allow from all
- </Files>
如果可能,把文件上傳到root目錄以外的目錄里。
禁止覆蓋已存在的文件(以阻止.htaccess覆蓋攻擊)
創(chuàng)建一個(gè)mime-type白名單列表。(只允許這個(gè)列表里的Mime-type)
生成一個(gè)隨機(jī)的文件名,并且加上此前生成的文件擴(kuò)展名、
不要只依賴客戶端驗(yàn)證,這不夠。理想的是既有客戶端驗(yàn)證也有服務(wù)器端驗(yàn)證。
總結(jié)
如上所述,惡意用戶有很多手段繞過(guò)文件上傳表單安全驗(yàn)證。因此,在web應(yīng)用中實(shí)現(xiàn)文件上傳表單時(shí),應(yīng)當(dāng)尊徐正確的安全指導(dǎo),并且做恰當(dāng)?shù)臏y(cè)試。不幸的是要做足夠的測(cè)試將會(huì)需要很多時(shí)間和更多的安全專家。
還好有了Acunetix WVS,不需要安全專家就可以自動(dòng)完成上傳表單脆弱性檢查,Acunetix WVS用最少的時(shí)間為開(kāi)發(fā)者提供了足夠多的能夠追蹤并修復(fù)問(wèn)題的信息。
