動態網頁PHP程式中檔案上傳的安全問題

來源:互聯網
上載者:User

PHP自動支援基於RFC 1867的檔案上傳,我們看下面的例子:

<FORM METHOD="POST" ENCTYPE="multipart/form-data">
<INPUT TYPE="FILE" NAME="hello">
<INPUT TYPE="HIDDEN" NAME="MAX_FILE_SIZE" VALUE="10240">
<INPUT TYPE="SUBMIT">
</FORM>

上面的代碼讓使用者從本地機器選擇一個檔案,當點擊提交後,檔案就會被上傳到伺服器。這顯然是很有用的功能,但是PHP的回應程式式使這項功能變的不安全。當PHP第一次接到這種請求,甚至在它開始解析被調用的PHP代碼之前,它會先接受遠端使用者的檔案,檢查檔案的長度是否超過“$MAX_FILE_SIZE variable”定義的值,如果通過這些測試的話,檔案就會被存在本地的一個臨時目錄中。

因此,攻擊者可以發送任意檔案給運行PHP的主機,在PHP程式還沒有決定是否接受檔案上傳時,檔案已經被存在伺服器上了。

這裡我就不討論利用檔案上傳來對伺服器進行DOS攻擊的可能性了。

讓我們考慮一下處理檔案上傳的PHP程式,正如我們上面說的,檔案被接收並且存在伺服器上(位置是在設定檔中指定的,一般是/tmp),副檔名一般是隨機的,類似“phpxXuoXG”的形式。PHP程式需要上傳檔案的資訊以便處理它,這可以通過兩種方式,一種方式是在PHP 3中已經使用的,另一種是在我們對以前的方法提出資訊安全諮詢後引入的。

但是,我們可以肯定的說,問題還是存在的,大多數PHP程式還是使用老的方式來處理上傳檔案。PHP設定了四個全域變數來描述上傳檔案,比如說上面的例子:

$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g "c:\\temp\\hello.txt")
$hello_type = Mime type of uploaded file (e.g "text/plain")

然後PHP程式開始處理根據“$hello”指定的檔案,問題在於“$hello”不一定是一個PHP設定的變數,任何遠端使用者都可以指定它。如果我們使用下面的方式:

http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt

就導致了下面的PHP全域變數(當然POST方式也可以(甚至是Cookie)):

$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"

上面的表單資料正好滿足了PHP程式所期望的變數,但是這時PHP程式不再處理上傳的檔案,而是處理“/etc/passwd”(通常會導致內容暴露)。這種攻擊可以用於暴露任何敏感檔案的內容。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。