我們通過前篇<web上存漏洞及原理分析防范方法(安全文件上存方法) >已經知道後端獲取服務器變量很多來自客戶端傳入的跟普通的getpost沒有什麼不同下面我們看看常見出現漏洞代碼
檢測文件類型並且用用戶上存文件名保存
復制代碼 代碼如下:
if(isset($_FILES[
img
]))
{
$file = save_file($_FILES[
img
]);
if($file===false) exit(
上存失敗!
);
echo "上存成功!"
$file;
}
function check_file($img)
{
///讀取文件
if($img[
error
]>
) return false;
$tmpfile = $img[
tmp_name
];
$filename = $img[
name
];
///讀取文件擴展名
$len=strrpos($filename
"
");
if($len===false) return false;
//得到擴展名
$ext = strtolower(substr($filename
$len+
));
if(!in_array($ext
array(
jpg
jpeg
png
))) return false;
return true;
}
function save_file($img)
{
if(!check_file($img)) return false;
//格式檢測ok
准備移動數據
$filename = $img[
name
];
$newfile = "upload/"
$filename;
if(!move_uploaded_file($img["tmp_name"]
$newfile)) return false;
return $newfile;
}
?>
以 上代碼對輸入類型也做了判斷看了沒有問題但是問題確恰恰出現在對獲取的用戶名變量檢測上面直接獲取傳入用戶名然後存為文件 有朋友會說這些文件名都是我電腦裡面存在的文件名格式都受限於操作系統對文件名定義 但是需要注意是對於$_FILES裡面獲取變量是直接來自http request請求它跟普通獲取其它getpost變量一樣 因此別有用心的人往往會自己模擬浏覽器給服務器發送一個特殊文件名然後讓存文件時候能夠正常保存為自己格式
前些年”” 在字符串中保存為文件會自動截斷後面內容 如$filename 構造為”aphpjpg” 我們想想將會變成怎麼樣?
$newfile = “upload/aphpjpg” 因為對擴展名驗證最右邊””後面字符是jpg 是允許圖片格式 但是我們一以該文件名保存 發現磁盤會在upload目錄下面生成aphp 後面所有字符被自動截斷
該漏洞風靡一時當時幾乎大多數上存網站都有漏洞一時很多平台關閉了上存其實根本原因就在此我們拿到文件名自己作為最終生成文件名保存了 好的方法是自己隨機生成文件名+讀取擴展名 這樣可以組織輸入特殊字符在進行文件保存時候被拋棄或截斷了
php時代這個漏洞可以利用到php時代生成的變量文件名值中會自動過濾掉”” 這樣無論用戶構造怎麼樣的特殊””用戶名都會被截斷 但是 目前這類漏洞在aspjsp 等站點還經常有出現老版本的php站點也會經常出現
好了今天先到這裡後面還有種其它常見方法後面給出!歡迎交流!
From:http://tw.wingwit.com/Article/program/PHP/201311/21041.html
