基于Web系統(tǒng)的文件上傳漏洞解析

◆巨騰飛 岳劍暉

基于Web系統(tǒng)的文件上傳漏洞解析

◆巨騰飛 岳劍暉

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

由于Web技術(shù)的迅猛發(fā)展，Web系統(tǒng)功能愈加豐富多彩，傳統(tǒng)的Web系統(tǒng)僅用于信息發(fā)布，而如今的Web系統(tǒng)應(yīng)用，如購物網(wǎng)站、論壇、微博功能愈加完善，不僅有信息發(fā)布，還有網(wǎng)民娛樂、購物、聊天等功能，功能的完善意味著這些網(wǎng)站安全問題的突出，許多網(wǎng)站存在頭像上傳、附件上傳等功能，由此便產(chǎn)生了文件上傳漏洞，安全管理者和安全運維者的責(zé)任則更加突出，安全問題亟待解決。

Web系統(tǒng)；網(wǎng)站安全；文件上傳漏洞

1 引言

文件上傳通常是一些論壇、貼吧、購物、聊天類網(wǎng)站所必備的功能，通常Web站點會有用戶注冊功能，用戶注冊完成后，個人設(shè)置當(dāng)中往往都有頭像上傳功能，可以向大眾展示自己、認(rèn)識自己，而當(dāng)用戶登錄之后大多數(shù)情況下都會存在類似附件上傳一類的功能，這些功能如果安全問題未完全到位，往往存在上傳驗證缺陷，導(dǎo)致文件上傳漏洞，文件上傳漏洞往往在Web滲透測試中是非常關(guān)鍵的突破口，只要通過各種分析測試分析來繞過上傳驗證、保護機制，往往會造成被黑客直接上傳Web系統(tǒng)后門，進(jìn)而獲取整個Web系統(tǒng)的管理權(quán)限，甚至導(dǎo)致整個內(nèi)網(wǎng)安全受到威脅。不少門戶網(wǎng)站都有過被上傳后門，導(dǎo)致被人篡改的經(jīng)歷，這類攻擊行為大部分是通過文件上傳漏洞進(jìn)行的。

2 何為文件上傳漏洞

文件上傳漏洞是Web應(yīng)用系統(tǒng)中一種常見的漏洞類型，是指網(wǎng)絡(luò)攻擊者上傳了一個可執(zhí)行的文件到服務(wù)器并執(zhí)行，這里上傳的文件可以是照片、木馬、病毒和Webshell等。這種攻擊方式是最為直接和有效的，部分文件上傳漏洞的利用技術(shù)門檻非常的低，對于攻擊新手者來說都很容易實施。

從滲透測試人員的角度來說，如果要想成功實施文件上傳漏洞攻擊，通常來說一般需要滿足以下三個條件（不包括文件包含上傳）：

（1）上傳文件可執(zhí)行

首先來說上傳文件成功只是第一步，有時候表面看來腳本文件上傳成功，但也有可能被安全機制強行改名為jpg、mpg、jpeg等存儲，如果腳本文件被利用，其上傳文件所存儲的目錄文件必須具備可執(zhí)行權(quán)限，如果文件無法成功執(zhí)行，就無法進(jìn)行進(jìn)一步的滲透測試。

（2）上傳文件可訪問

其次，上傳文件成功且可被執(zhí)行是不夠的，文件還必須具備Web訪問權(quán)限，如果不能夠通過Web訪問，那么也不能成功實施滲透測試。

（3）上傳文件路徑、文件名可知

最后，要知道腳本文件上傳到服務(wù)器后其所存放路徑及文件名稱，因為許多Web應(yīng)用都會修改上傳文件的文件名稱，那么這時就需要結(jié)合其他漏洞去獲取到這些信息。如果不知道上傳文件的存放路徑和文件名稱，即使文件上傳也無法訪問。

3 文件上傳漏洞分類

主要以php（asp）為例，常見文件上傳漏洞主要分為四種：客戶端校驗繞過、文件類型繞過、文件后綴名繞過、文件頭繞過等。

（1）客戶端校驗繞過

一種是直接修改js代碼或者用抓包的方法修改請求內(nèi)容繞過，可以先上傳一個gif木馬，通過抓包修改為php（asp），只用這種方法來檢測是肯定可以繞過的。

另外一種是瀏覽器禁用js調(diào)試，這里以Firefox為例：首先在Firefox地址欄里輸入“about：config”；其次在搜索欄輸入“javascript.enabled”查找到首選項。最后點擊鼠標(biāo)右鍵選擇“切換”，把“javascript.enabled”鍵值改為“false”這樣就能禁止js的運行了。

（2）文件類型繞過

通過抓包軟件，可以看到不同的文件content-type字段顯示不同的Filetype，只需要將content-type字段改為image/jpegd等。

（3）文件后綴名繞過

一種主要是基于黑名單檢測技術(shù)，如果檢測的時候不忽略大小寫，那么可以改變后綴名的大小寫繞過；其次還有被黑名單表中如果忽略了某些后綴；最后包括能被解析的文件擴展名列表。

另一種主要是基于白名單檢測技術(shù)，包括%00截斷，如將文件1.php修改為1.php%00.jpg。

（4）文件頭繞過

這種一般采用正常圖片合成惡意腳本，可以直接通copy命令進(jìn)行木馬合成，這種插入的代碼一般會放在圖像的注釋區(qū)，因此不會影響圖像正常渲染繞過這種文件頭檢測。

4 文件上傳漏洞防范

首先，上傳的文件能夠被Web容器解釋執(zhí)行，所以上傳文件的目錄要是Web容器所覆蓋到的路徑；其次，用戶能夠從Web上訪問這個文件，如果文件上傳了，但用戶無法通過Web訪問，或者無法得到Web容器解釋這個腳本，那么也不能稱之為漏洞；最后，用戶上傳的文件若被安全檢查、格式化、圖片壓縮等功能改變了內(nèi)容，則也可能導(dǎo)致攻擊不成功。

防范文件上傳漏洞常見的幾種方法如下：

（1）文件上傳的目錄設(shè)置為不可執(zhí)行

只要Web容器無法解析上傳目錄下面的文件，即使攻擊者上傳了腳本文件，服務(wù)器本身也不會受到影響，因此這一點也至關(guān)重要。

（2）文件白名單校驗

在文件類型檢查中，使用白名單的方式進(jìn)行檢查，黑名單的方式已經(jīng)多次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數(shù)或者resize函數(shù)，在處理圖片的同時破壞圖片中可能包含的HTML代碼。

（3）改寫文件名和文件路徑

上傳文件如果要執(zhí)行代碼，則需要用戶能夠訪問到這個文件。在某些環(huán)境中，用戶能上傳，但不能訪問。改寫了文件名和路徑，將極大地增加攻擊的成本。

（4）及時對Web應(yīng)用系統(tǒng)進(jìn)行補丁修復(fù)

隨著Web應(yīng)用系統(tǒng)防御措施安全性的不斷提高，攻擊者也在試圖不斷尋找新的攻擊方法與手段，通過追蹤、了解和分析最新產(chǎn)生的各種攻擊手段，及時對Web應(yīng)用系統(tǒng)進(jìn)行修復(fù)和防御也是一個不可缺少的防護手段。

5 結(jié)束語

本文主要基于Web系統(tǒng)簡要介紹文件上傳漏洞，包括文件上傳漏洞介紹、文件上傳漏洞分類、文件上傳漏洞利用、文件上傳漏洞防護，總結(jié)出文件上傳漏洞的危害，幫助安全相關(guān)人員提高安全防護意識，提升總體安全防護水平。

[1]劉仁珩.上傳漏洞原理及防范[J].江西通信科技，2014（04）：39-42.

[2]郝子希，王志軍，劉振宇.文件上傳漏洞的攻擊方法與防御措施研究[J].計算機技術(shù)與發(fā)展，2019，29（02）：129-134.

[3]白興瑞，劉耀炎.高校WEB站點的上傳漏洞分析及防范[J].衡水學(xué)院學(xué)報，2011，13（04）：34-36.