web安全之文件上傳漏洞攻擊與防範方法
一、 檔案上傳漏洞與WebShell的關係
檔案上傳漏洞是指網路攻擊者上傳了一個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬,病毒,惡意腳本或WebShell等。這種攻擊方式是最直接有效的,部分檔案上傳漏洞的利用技術門檻非常的低,對於攻擊者來說很容易實施。
檔案上傳漏洞本身就是一個危害巨大的漏洞,WebShell更是將這種漏洞的利用無限擴大。大多數的上傳漏洞被利用後攻擊者都會留下WebShell以方便後續進入系統。攻擊者在受影響系統放置或插入WebShell後,可透過該WebShell更輕鬆,更隱密的在服務中為所欲為。
這裡需要特別說明的是上傳漏洞的利用常常會使用WebShell,而WebShell的植入遠不止檔案上傳這一種方式。
1 Webshell簡介
WebShell就是以asp、php、jsp或cgi等網頁檔案形式存在的一種指令執行環境,也可以稱之為一種網頁後門。攻擊者在入侵了一個網站後,通常會將這些asp或php後門檔案與網站伺服器web目錄下正常的網頁檔案混在一起,然後使用瀏覽器來存取這些後門,得到一個命令執行環境,以達到控制網站伺服器的目的(可以上傳下載或修改文件,操作資料庫,執行任意指令等)。
WebShell後門隱蔽較性高,可以輕鬆穿越防火牆,存取WebShell時不會留下系統日誌,只會在網站的web日誌中留下一些資料提交記錄,沒有經驗的管理員不容易發現入侵痕跡。攻擊者可以將WebShell隱藏在正常檔案中並修改檔案時間增強隱蔽性,也可以採用一些函數對WebShell進行編碼或拼接以規避偵測。除此之外,透過一句話木馬的小馬來提交功能更強大的大馬可以更容易通過應用程式本身的檢測。 就是一個最常見最原始的小馬,以此為基礎也湧現了許多變種,如等。
2 檔案上傳漏洞原理
大部分的網站和應用程式系統都有上傳功能,有些檔案上傳功能實作程式碼沒有嚴格限制使用者上傳的檔案後綴以及文件類型,導致允許攻擊者向某個可透過Web存取的目錄上傳任意PHP文件,並能夠將這些文件傳遞給PHP解釋器,就可以在遠端伺服器上執行任意PHP腳本。
當系統存在檔案上傳漏洞時攻擊者可以將病毒,木馬,WebShell,其他惡意腳本或包含了腳本的圖片上傳到伺服器,這些檔案將對攻擊者後續攻擊提供便利。根據具體漏洞的差異,此處上傳的腳本可以是正常後綴的PHP,ASP以及JSP腳本,也可以是篡改後綴後的這幾類腳本。
上傳檔案是病毒或木馬時,主要用於誘騙使用者或管理員下載執行或直接自動執行;
##上傳檔案是WebShell時,攻擊者可透過這些網頁後門執行指令並控制伺服器;
上傳檔案是其他惡意腳本時,攻擊者可直接執行腳本進行攻擊;
上傳檔案是惡意圖片時,圖片中可能包含了腳本,載入或點擊這些圖片時腳本會悄無聲息的執行;
上傳檔案是偽裝成正常後綴的惡意腳本時,攻擊者可藉助本機檔案包含漏洞(Local File Include)執行該文件。如將bad.php檔案改名為bad.doc上傳到伺服器,再透過PHP的include,include_once,require,require_once等函數包含執行。
此處造成惡意檔案上傳的原因主要有三種:檔案上傳時檢查不嚴格。沒有進行文件格式檢查。有些應用程式只是在客戶端進行了檢查,而在專業的攻擊者眼裡幾乎所有的客戶端檢查都等於沒有檢查,攻擊者可以透過NC,Fiddler等斷點上傳工具輕鬆繞過客戶端的檢查。一些應用雖然在伺服器端進行了黑名單檢查,但是卻可能忽略了大小寫,如將.php改為.Php即可繞過檢查;一些應用雖然在伺服器端進行了白名單檢查卻忽略了
圖4 成功存取WebShell後門
4 檔案上傳漏洞防禦
首先,上傳的檔案能夠被Web容器解釋執行。所以檔案上傳後所在的目錄要是Web容器所覆蓋到的路徑。
其次,使用者能夠從Web上存取這個檔案。如果檔案上傳了,但使用者無法透過Web訪問,或無法得到Web容器解釋這個腳本,那麼也不能稱之為漏洞。
最後,使用者上傳的檔案若被安全檢查、格式化、圖片壓縮等功能改變了內容,也可能導致攻擊不成功。
防範檔案上傳漏洞常見的幾種方法。
1、文件上傳的目錄設定為不可執行
只要web容器無法解析該目錄下面的文件,即使攻擊者上傳了腳本文件,伺服器本身也不會受到影響,因此這一點至關重要。
2、判斷檔案類型
在判斷檔案類型時,可以結合使用MIME Type、後綴檢查等方式。在文件類型檢查中,強烈推薦白名單方式,黑名單的方式已經無數次被證明是不可靠的。此外,對於圖片的處理,可以使用壓縮函數或resize函數,在處理圖片的同時破壞圖片中可能包含的HTML程式碼。
3、使用隨機數字改寫檔案名稱和檔案路徑
檔案上傳如果要執行程式碼,則需要使用者能夠存取到這個檔案。在某些環境中,使用者能上傳,但不能存取。如果應用了隨機數改寫了檔案名稱和路徑,將會大大增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件,都將因為重命名而無法攻擊。
4、單獨設定檔案伺服器的網域名稱
由於瀏覽器同源策略的關係,一系列用戶端攻擊將會失效,例如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將會解決。
l 系統開發階段的防禦
系統開發人員應有強烈的安全意識,尤其是採用PHP語言開發系統。在系統開發階段應充分考慮系統的安全性。對檔案上傳漏洞來說,最好能在客戶端和伺服器端對使用者上傳的檔案名稱和檔案路徑等項目分別進行嚴格的檢查。客戶端的檢查雖然對技術較好的攻擊者來說可以藉助工具繞過,但這也可以阻擋一些基本的試探。伺服器端的檢查最好使用白名單過濾的方法,這樣能防止大小寫等方式的繞過,同時還需對
以上是web安全之文件上傳漏洞攻擊與防範方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!

熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3漢化版
中文版,非常好用

禪工作室 13.0.1
強大的PHP整合開發環境

Dreamweaver CS6
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

PHP是一種廣泛應用於服務器端的腳本語言,特別適合web開發。 1.PHP可以嵌入HTML,處理HTTP請求和響應,支持多種數據庫。 2.PHP用於生成動態網頁內容,處理表單數據,訪問數據庫等,具有強大的社區支持和開源資源。 3.PHP是解釋型語言,執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時,可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP和Python各有優勢,選擇依據項目需求。 1.PHP適合web開發,尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能,語法簡潔,適合初學者。

PHP和Python各有優勢,選擇應基於項目需求。 1.PHP適合web開發,語法簡單,執行效率高。 2.Python適用於數據科學和機器學習,語法簡潔,庫豐富。

PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務:用於購物車功能和支付處理。 2)內容管理系統:用於動態內容生成和用戶管理。 3)API開發:用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐,PHP應用的效率和可維護性得以提升。

PHP仍然具有活力,其在現代編程領域中依然佔據重要地位。 1)PHP的簡單易學和強大社區支持使其在Web開發中廣泛應用;2)其靈活性和穩定性使其在處理Web表單、數據庫操作和文件處理等方面表現出色;3)PHP不斷進化和優化,適用於初學者和經驗豐富的開發者。

PHP適合web開發,特別是在快速開發和處理動態內容方面表現出色,但不擅長數據科學和企業級應用。與Python相比,PHP在web開發中更具優勢,但在數據科學領域不如Python;與Java相比,PHP在企業級應用中表現較差,但在web開發中更靈活;與JavaScript相比,PHP在後端開發中更簡潔,但在前端開發中不如JavaScript。

PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。

PHP和Python各有優劣,選擇取決於項目需求和個人偏好。 1.PHP適合快速開發和維護大型Web應用。 2.Python在數據科學和機器學習領域佔據主導地位。
