解析web文件操作常见安全漏洞(目录、文件名检测漏洞)


Posted in PHP onJune 29, 2013

做web开发,我们经常会做代码走查,很多时候,我们都会抽查一些核心功能,或者常会出现漏洞的逻辑。随着技术团队的壮大,组员技术日益成熟。 常见傻瓜型SQL注入漏洞、以及XSS漏洞。会越来越少,但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现。这些漏洞更多来自开发人员,对一个函数、常见模块功能设计不足,遗留下的问题。以前我们能够完成一些功能模块,现在要求是要安全正确方法完成模块才行。 接下来,我会分享一些常见功能模块,由于设计原因导致漏洞出现。下面,我们先看下,读取文件型功能漏洞。
我们先看下下面一段代码,通过用户输入不同目录,包含不同文件

<?php
///读取模块名称
$mod = isset($_GET['m'])?trim($_GET['m']):'index';
///过滤目录名称不让跳转到上级目录
$mod = str_replace("..",".",$mod);
///得到文件
$file = "/home/www/blog/".$mod.".php";
///包含文件
@include($file);

这段代码,可能在很多朋友做的程序里面有遇到过,对于新人来说,也是很容易出现这样问题,记得走查遇到该代码时候,我问到,你这个代码安全方面能做到那些?
答:1. 对”..”目录有做替换,因此用户传入模块名里面有有..目录都会被替换掉了。
    2.构造拼接file名称,有前面目录限制,有后面扩展名限制,包含文件就会限制在该目录了
这段代码真的做到了目录安全检测吗?
我们来测试下,如果$mod传入这个值将会是什么样的结果。解析web文件操作常见安全漏洞(目录、文件名检测漏洞)

$mod 通过构造输?mod=…%2F…%2F…%2F…%2Fetc%2Fpasswd%00 ,我们看结果将是:

解析web文件操作常见安全漏洞(目录、文件名检测漏洞)

居然include(“/etc/passwd”)文件了。
怎么逃脱了我参数限制呢?
首先:
做参数过滤类型去限制用户输入本来就不是一个好方法,一般规则是:能够做检测的,不要做替换 只要是检测不通过的,直接pass 掉!这是我们的一个原则。过滤失败情况,举不胜举,我们来看看,实际过程。
1、输入”…/…/…/” 通过把”..” 替换为”.”后
2、结果是”../../../” 就变成了这个了
有朋友就会说,如果我直接替换为空格是不是就好了?在这个里面确实可以替换掉。但是不代表以后你都替换为空格就好了。再举例子下。如:有人将字符串里面javascript替换掉。代码如下:

……
$msg = str_replace(“javascript”,””,$msg);

看似不会出现了javascript了,但是,如果输入:jjavascriptavascript 替换,会替换掉中间一个变为空后。前面的”j” 跟后面的会组成一个新的javascript了。

其次:我们看看,怎么逃脱了,后面的.php 限制呢。用户输入的参数有:”etc/passwd\0” ,\0字符非常特殊,一段连接后,文件名称变成了”……etc/passwd\0.php”,你打印出该变量时候,还是正确的。但是,一段放入到文件读写操作方法里面,\0后面会自动截断。操作系统,只会读取……etc/passwd文件了。 “\0”会出现在所有文件系统读写文件变量中。都会同样处理。这根c语言\0作为字符串完整标记有关系。
通过上面分析,大家发现做文件类型操作时候,一不注意将产生大的漏洞。而且该漏洞就可能引发一系列安全问题。

该怎么做文件类操作呢?
到这里,估计有人就会思考这个,做文件读写操作时候,如果路径里面有变量时候,我该怎么样做呢?有人会说,替换可以吗? “可以”,但是这个方法替换不严格,将会出现很多问题。而且,对于初写朋友,也很难杜绝。 做正确的事情,选择了正确的方法,会从本身杜绝问题出现可能了。 这里,我建议:对于变量做白名单限制。

1.什么是白名单限制

举例来说:
$mod = isset($_GET['m'])?trim($_GET['m']):'index'; ///读取模块名称后
mod变量值范围如果是枚举类型那么:
if(!in_array($mod,array(‘user','index','add','edit'))) exit(‘err!!!');
完全限定了$mod,只能在这个数组中,够狠!!!!

2.怎么做白名单限制
通过刚才例子,我们知道如果是枚举类型,直接将值放到list中即可,但是,有些时候,这样不够方面。我们还有另外一个白名单限制方法。就是限制字符范围

举例来说:
$mod = isset($_GET['m'])?trim($_GET['m']):'index'; ///读取模块名称后
我限制知道$mod是个目录名称,对于一般站点来说,就是字母加数字下划线之类。
if(!preg_match(“/^\w+$/”,$mod)) exit(‘err!!!');
字符只能是:[A-Za-z0-9_] 这些了。够狠!!!

总结:是不是发现,白名单限制方法,做起来其实很简单,你知道那个地方要什么,就对输入检测必须是那些。而且,检测自己已知的,比替换那些未知的字符,是不是简单多了。 好了,先到这里,正确的解决问题方法,会让文件简单,而且更安全!!
PHP 相关文章推荐
用定制的PHP应用程序来获取Web服务器的状态信息
Oct 09 PHP
php下图片文字混合水印与缩略图实现代码
Dec 11 PHP
Fatal error: Call to undefined function curl_init()解决方法
Apr 09 PHP
php中随机显示图片的函数代码
Jun 23 PHP
有关PHP性能优化的介绍
Jun 20 PHP
PHP中的Memcache详解
Apr 05 PHP
微信公众平台网页授权获取用户基本信息中授权回调域名设置的变动
Oct 21 PHP
[原创]php简单隔行变色功能实现代码
Jul 09 PHP
php的socket编程详解
Nov 20 PHP
PHP常见过waf webshell以及最简单的检测方法
May 21 PHP
PHP cookie,session的使用与用户自动登录功能实现方法分析
Jun 05 PHP
PHP获取php,mysql,apche的版本信息及更多服务器信息
Mar 09 PHP
解析PHP中empty is_null和isset的测试
Jun 29 #PHP
浅析Dos下运行php.exe,出现没有找到php_mbstring.dll 错误的解决方法
Jun 29 #PHP
浅析PHP中的UNICODE 编码与解码
Jun 29 #PHP
基于flush()不能按顺序输出时的解决办法
Jun 29 #PHP
解析PHP 使用curl提交json格式数据
Jun 29 #PHP
PHP 过滤页面中的BOM(实现代码)
Jun 29 #PHP
解析curl提交GET,POST,Cookie的简单方法
Jun 29 #PHP
You might like
SONY ICF-SW07收音机电路分析
2021/03/02 无线电
PHP中如何调用webservice的实例参考
2013/04/25 PHP
使用PHP获取汉字的拼音(全部与首字母)
2013/06/27 PHP
ThinkPHP3.1新特性之对页面压缩输出的支持
2014/06/19 PHP
一段实用的php验证码函数
2016/05/19 PHP
php mysqli查询语句返回值类型实例分析
2016/06/29 PHP
PHP获取对象属性的三种方法实例分析
2019/01/03 PHP
PHP实现字符串的全排列详解
2019/04/24 PHP
TP5框架实现自定义分页样式的方法示例
2020/04/05 PHP
jquery 插件 web2.0分格的分页脚本,可用于ajax无刷新分页
2008/12/25 Javascript
使用Jquery获取带特殊符号的ID 标签的方法
2014/04/30 Javascript
javascript自定义in_array()函数实现方法
2015/08/03 Javascript
bootstrap表格分页实例讲解
2016/12/30 Javascript
说说AngularJS中的$parse和$eval的用法
2017/09/14 Javascript
浅谈Webpack打包优化技巧
2018/06/12 Javascript
vue 循环加载数据并获取第一条记录的方法
2018/09/26 Javascript
Vue组件间通信方法总结(父子组件、兄弟组件及祖先后代组件间)
2019/04/17 Javascript
JS工厂模式开发实践案例分析
2019/10/17 Javascript
Node.js创建一个Express服务的方法详解
2020/01/06 Javascript
Python中使用pprint函数进行格式化输出的教程
2015/04/07 Python
django 控制页面跳转的例子
2019/08/06 Python
python实现opencv+scoket网络实时图传
2020/03/20 Python
python删除文件、清空目录的实现方法
2020/09/23 Python
css3 flex实现div内容水平垂直居中的几种方法
2020/03/27 HTML / CSS
泰国第一的化妆品网站:Konvy
2018/02/25 全球购物
Linux面试题LINUX系统类
2015/11/25 面试题
海量信息软件测试笔试题
2015/08/08 面试题
超市理货员岗位职责
2014/07/04 职场文书
授权委托书格式范文
2014/08/02 职场文书
停车位租赁协议书
2014/09/24 职场文书
试用期自我评价范文
2015/03/10 职场文书
2015年护理工作总结范文
2015/04/03 职场文书
一文带你理解vue创建一个后台管理系统流程(Vue+Element)
2021/05/18 Vue.js
Nginx配置之实现多台服务器负载均衡
2021/08/02 Servers
使用CSS3实现按钮悬停闪烁动态特效代码
2021/08/30 HTML / CSS
Python机器学习应用之工业蒸汽数据分析篇详解
2022/01/18 Python