淺談web上存漏洞及原理分析、防范方法（文件名檢測漏洞）

2024-05-04 23:11:35

字體：大中小

來源：轉載

供稿：網友

我們通過前篇：<淺談web上存漏洞及原理分析、防范方法（安全文件上存方法）>，已經知道后端獲取服務器變量，很多來自客戶端傳入的。跟普通的get,post沒有什么不同。下面我們看看，常見出現漏洞代碼。
1、檢測文件類型，并且用用戶上存文件名保存

復制代碼代碼如下:

if(isset($_FILES['img']))
{
$file = save_file($_FILES['img']);
if($file===false) exit('上存失敗！');

echo "上存成功！",$file;
}
function check_file($img)
{
///讀取文件
if($img['error']>0) return false;

$tmpfile = $img['tmp_name'];
$filename = $img['name'];

///讀取文件擴展名
$len=strrpos($filename,".");
if($len===false) return false;

//得到擴展名
$ext = strtolower(substr($filename,$len+1));
if(!in_array($ext,array('jpg','jpeg','png'))) return false;
return true;
}
function save_file($img)
{
if(!check_file($img)) return false;

//格式檢測ok，準備移動數據
$filename = $img['name'];
$newfile = "upload/" .$filename;
if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;

return $newfile;
}
?>

以上代碼，對輸入類型也做了判斷，看了沒有問題。但是問題，確恰恰出現在對獲取的用戶名變量檢測上面。直接獲取傳入用戶名，然后存為文件。有朋友會說：這些文件名都是我電腦里面存在的，文件名格式都受限于操作系統對文件名定義。但是，需要注意是，對于$_FILES里面獲取變量，是直接來自http request請求。它跟普通獲取其它get,post變量一樣。因此，別有用心的人，往往會自己模擬瀏覽器，給服務器發送一個特殊文件名。然后，讓存文件時候，能夠正常保存為自己格式。

前些年，”/0” 在字符串中，保存為文件，會自動截斷后面內容。如：$filename 構造為：”a.php/0.jpg” ，我們想想，將會變成怎么樣？
$newfile = “upload/a.php/0.jpg” 因為，對擴展名驗證，最右邊”.”后面字符是jpg ，是允許圖片格式。但是，我們一以該文件名，保存。發現磁盤會在upload目錄下面生成a.php ，/0后面所有字符，被自動截斷。

該漏洞，風靡一時。當時幾乎大多數上存網站都有漏洞。一時，很多平臺關閉了上存。其實，根本原因就在此。我們拿到文件名，自己作為最終生成文件名保存了。好的方法，是自己隨機生成文件名+讀取擴展名。這樣可以組織輸入特殊字符，在進行文件保存時候，被拋棄或截斷了。

php4時代這個漏洞可以利用，到php5時代，生成的變量文件名值中，會自動過濾掉”/0” ，這樣無論用戶構造怎么樣的特殊”/0”用戶名，都會被截斷。但是，目前這類漏洞，在asp,jsp 等站點。還經常有出現。老版本的php站點也會經常出現。
好了，今天先到這里，后面還有2種其它常見方法，后面給出！歡迎交流！

上一篇：解析web文件操作常見安全漏洞(目錄、文件名檢測漏洞)

下一篇：如何使用PHP實現javascript的escape和unescape函數