程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> web上存漏洞及原理分析、防范方法(文件名檢測漏洞)

web上存漏洞及原理分析、防范方法(文件名檢測漏洞)

編輯:關於PHP編程

    我們通過前篇:<web上存漏洞及原理分析、防范方法(安全文件上存方法) >,已經知道後端獲取服務器變量,很多來自客戶端傳入的。跟普通的get,post沒有什麼不同。下面我們看看,常見出現漏洞代碼。
    1、檢測文件類型,並且用用戶上存文件名保存

    復制代碼 代碼如下:
    if(isset($_FILES['img']))
    {
    $file = save_file($_FILES['img']);
    if($file===false) exit('上存失敗!');

    echo "上存成功!",$file;
    }
    function check_file($img)
    {
    ///讀取文件
    if($img['error']>0) return false;

    $tmpfile = $img['tmp_name'];
    $filename = $img['name'];


    ///讀取文件擴展名
    $len=strrpos($filename,".");
    if($len===false) return false;

    //得到擴展名
    $ext = strtolower(substr($filename,$len+1));
    if(!in_array($ext,array('jpg','jpeg','png'))) return false;
    return true;
    }
    function save_file($img)
    {
    if(!check_file($img)) return false;

    //格式檢測ok,准備移動數據
    $filename = $img['name'];
    $newfile = "upload/" .$filename;
    if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;

    return $newfile;
    }
    ?>


    以 上代碼,對輸入類型也做了判斷,看了沒有問題。但是問題,確恰恰出現在對獲取的用戶名變量檢測上面。直接獲取傳入用戶名,然後存為文件。 有朋友會說:這些文件名都是我電腦裡面存在的,文件名格式都受限於操作系統對文件名定義。 但是,需要注意是,對於$_FILES裡面獲取變量,是直接來自http request請求。它跟普通獲取其它get,post變量一樣。 因此,別有用心的人,往往會自己模擬浏覽器,給服務器發送一個特殊文件名。然後,讓存文件時候,能夠正常保存為自己格式。

    前些年,”” 在字符串中,保存為文件,會自動截斷後面內容。 如:$filename 構造為:”a.php.jpg” ,我們想想,將會變成怎麼樣?
    $newfile = “upload/a.php.jpg” 因為,對擴展名驗證,最右邊”.”後面字符是jpg ,是允許圖片格式。 但是,我們一以該文件名,保存。 發現磁盤會在upload目錄下面生成a.php ,後面所有字符,被自動截斷。

    該漏洞,風靡一時。當時幾乎大多數上存網站都有漏洞。一時,很多平台關閉了上存。其實,根本原因就在此。我們拿到文件名,自己作為最終生成文件名保存了。 好的方法,是自己隨機生成文件名+讀取擴展名 。這樣可以組織輸入特殊字符,在進行文件保存時候,被拋棄或截斷了。

    php4時代這個漏洞可以利用,到php5時代,生成的變量文件名值中,會自動過濾掉”” ,這樣無論用戶構造怎麼樣的特殊””用戶名,都會被截斷。 但是 ,目前這類漏洞,在asp,jsp 等站點。還經常有出現。老版本的php站點也會經常出現。
    好了,今天先到這裡,後面還有2種其它常見方法,後面給出!歡迎交流!

    1. 上一頁:
    2. 下一頁:
    Copyright © 程式師世界 All Rights Reserved