从上传到入侵:揭秘文件上传漏洞之操作原理
大家好,今天我们来聊一个"老而弥坚"的漏洞类型 ------ 文件上传漏洞。虽然这个漏洞存在很多年了,但直到现在依然频频出现在各种漏洞报告中。今天我们就来深入了解一下它的原理和各种校验方式。
上传过程中到底发生了什么?
说到文件上传,很多人可能觉得不就是选个文件,点击上传按钮吗?但实际上,背后的过程可复杂了。
当你点击那个上传按钮时,浏览器会构造一个特殊的HTTP请求。这个请求会把Content-Type设置为multipart/form-data,这是专门用来传输文件的格式。请求大概长这样:
POST /upload.php HTTP/1.1
Host: example.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123
Content-Length: 1136
------WebKitFormBoundaryABC123
Content-Disposition: form-data; name="file"; filename="test.jpg"
Content-Type: image/jpeg
[文件二进制内容]
------WebKitFormBoundaryABC123--
服务器收到这个请求后,会经历以下步骤:
-
解析请求,提取文件内容
-
创建临时文件,存储上传的内容
-
进行各种校验(这是重点!)
-
如果校验通过,将文件移动到目标目录
-
返回上传结果
看起来很完整的流程对吧?但问题就出在第三步 ------ 校验环节。
为什么会出现上传漏洞?
文件上传漏洞的本质是什么?说白了就是:服务器没有正确验证上传文件的类型,或者验证被绕过了,导致攻击者可以上传恶意文件并执行。
主要的成因有这么几类:
1. 校验位置不当
最典型的就是只在前端做校验。比如这样的代码:
function checkFile(){
var file = document.getElementById('upload').files[0];
if(file.type != 'image/jpeg'){
alert('只能上传jpg图片!');
return false;
}
return true;
}
这种校验形同虚设,因为前端的任何校验都可以被绕过。用户完全可以直接构造POST请求,根本不经过这个JavaScript校验。
2. 校验逻辑不完整
很多开发者的校验逻辑是这样的:
$filename = $_FILES['upload']['name'];
$ext = substr($filename, strrpos($filename, '.'));
if($ext != '.jpg'){
die('只允许上传jpg文件!');
}
这种校验存在多个问题:
-
没有考虑大小写(.JPG, .jpg)
-
没有考虑多重后缀(test.php.jpg)
-
没有考虑特殊字符(test.jpg.php%00)
3. 服务器解析漏洞
就算开发者做了完善的后缀名校验,还可能踩到服务器解析的坑。不同的Web服务器对文件解析的规则不同:
-
IIS会把"test.asp;.jpg"当作ASP文件
-
Apache可能会解析"test.php.xxx"为PHP文件
-
Nginx某些版本存在解析漏洞
这就导致即使上传的文件后缀是.jpg,但服务器可能还是会以PHP等方式解析它。
服务器通常会做哪些校验?
说完了问题,我们来看看一个完整的校验流程应该包含哪些内容:
1. MIME类型校验
// 获取文件的真实MIME类型
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime_type = finfo_file($finfo, $_FILES['upload']['tmp_name']);
// 白名单验证
$allow_mime = array('image/jpeg', 'image/png', 'image/gif');
if(!in_array($mime_type, $allow_mime)){
die('非法文件类型');
}
2. 文件内容校验
// 检查是否真的是图片
if(!getimagesize($_FILES['upload']['tmp_name'])){
die('非法图片文件');
}
// 检查文件内容是否包含PHP代码
$content = file_get_contents($_FILES['upload']['tmp_name']);
if(preg_match('/<\?php/i', $content)){
die('发现PHP代码');
}
3. 文件名和后缀校验
// 提取文件后缀
$ext = strtolower(pathinfo($_FILES['upload']['name'], PATHINFO_EXTENSION));
// 白名单检查
$allow_ext = array('jpg', 'jpeg', 'png', 'gif');
if(!in_array($ext, $allow_ext)){
die('非法文件类型');
}
// 文件名合法性检查
if(!preg_match("/^[a-zA-Z0-9_]+\.[a-zA-Z0-9]+$/", $_FILES['upload']['name'])){
die('非法文件名');
}
4. 文件完整性校验
// 检查文件大小
if($_FILES['upload']['size'] > 2*1024*1024){
die('文件过大');
}
// 检查图片尺寸
list($width, $height) = getimagesize($_FILES['upload']['tmp_name']);
if($width > 1920 || $height > 1080){
die('图片尺寸过大');
}
如何做好上传验证?
一个安全的文件上传验证流程应该是这样的:
- 文件名合法性验证
-
去除路径信息
-
检查特殊字符
-
验证扩展名白名单
- 文件类型验证
-
检查MIME类型
-
验证文件头
-
内容检测
- 存储安全
-
重命名文件
-
使用随机文件名
-
限制存储目录
-
设置合适的权限
- 其他措施
-
限制上传大小
-
限制上传频率
-
记录上传日志
-
杀毒检查
每一步都很重要,缺一不可。而且这些措施要多管齐下,形成纵深防御。
总结
文件上传漏洞说简单也简单,说复杂也复杂。简单在于原理容易理解,复杂在于防护要考虑的点实在太多。怎么样?通过这篇文章,你是不是对文件上传漏洞有了更深的认识?在实际开发中,你还遇到过哪些有趣的文件上传相关的问题呢?欢迎在评论区分享你的经验!