1、文件上传的目录设置为不可执行。
2、判断文件类型,(使用白名单,黑名单不可靠)
3、使用随机数改写文件名和文件路径
4、单独设置文件服务器域名。
-
设计安全的文件上传
2017-10-17 11:22:001、文件上传的目录设置为不可执行。 2、判断文件类型,(使用白名单,黑名单不可靠) 3、使用随机数改写文件名和文件路径 4、单独设置文件服务器域名。 转载于:...展开全文转载于:https://www.cnblogs.com/zhimingxin/p/7680704.html
-
文件上传漏洞防御
2019-08-13 15:19:241.文件上传的目录设置为不可执行 只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此这一点至关重要。 2.判断文件类型 在判断文件类型时,可以结合使用MIME Type、...展开全文防范文件上传漏洞常见的几种方法:
1.文件上传的目录设置为不可执行
只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此这一点至关重要。
2.判断文件类型
在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式,黑名单的方式已经无数次被证明是不可靠的。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。
3.使用随机数改写文件名和文件路径
文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用了随机数改写了文件名和路径,将极大地增加攻击的成本。再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。
4.单独设置文件服务器的域名
由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。
系统开发阶段的防御
系统开发人员应有较强的安全意识,尤其是采用PHP语言开发系统。在系统开发阶段应充分考虑系统的安全性。对文件上传漏洞来说,最好能在客户端和服务器端对用户上传的文件名和文件路径等项目分别进行严格的检查。客户端的检查虽然对技术较好的攻击者来说可以借助工具绕过,但是这也可以阻挡一些基本的试探。服务器端的检查最好使用白名单过滤的方法,这样能防止大小写等方式的绕过,同时还需对%00截断符进行检测,对HTTP包头的content-type也和上传文件的大小也需要进行检查。
系统运行阶段的防御
系统上线后运维人员应有较强的安全意思,积极使用多个安全检测工具对系统进行安全扫描,及时发现潜在漏洞并修复。定时查看系统日志,web服务器日志以发现入侵痕迹。定时关注系统所使用到的第三方插件的更新情况,如有新版本发布建议及时更新,如果第三方插件被爆有安全漏洞更应立即进行修补。对于整个网站都是使用的开源代码或者使用网上的框架搭建的网站来说,尤其要注意漏洞的自查和软件版本及补丁的更新,上传功能非必选可以直接删除。除对系统自生的维护外,服务器应进行合理配置,非必选一般的目录都应去掉执行权限,上传目录可配置为只读。
总结
上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。
用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法得到Web容器解释这个脚本,那么也不能称之为漏洞。
最后,用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容,则也可能导致攻击不成功。
-
白帽子讲Web安全(五)文件上传漏洞
2020-08-28 15:23:03文件上传漏洞1、漏洞概述2、FCKEditor文件上传漏洞3、绕过文件上传检查功能4、常见服务器文件上传...文件上传的目录设置为不可执行5.2、判断文件类型5.3、使用随机数改写文件名和文件路径5.4、单独设置文件服务器的域名...展开全文文件上传漏洞
1、漏洞概述
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
上传文件本身没有问题,有问题的是服务器怎么处理、解释上传的文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
文件上传后导致的常见安全问题一般有:
- 上传文件时Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行;
- 上传文件时Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似方式控制策略文件的情况类似);
- 上传文件时病毒、木马文件,黑客用以诱骗用户或者管理员下载执行;
- 上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。
文件上传漏洞前提条件:
- 上传的文件可以被解释执行
- 用户可以访问到上传的文件
2、FCKEditor文件上传漏洞
FCKEditor是一款富文本编辑器。
FCKEditor文件上传后,通过检查文件的后缀来确定文件是否安全。代码如下:
如果我们上传后缀为php2,php4,inc,cer等文件,都可能导致文件上传漏洞。所以设置黑名单的方式并不可靠。由于FCKEditor一般是作为第三方应用集成到网站中的,因此文件上传的目录一般默认都会被Web容器所解析,很容易形成文件上传漏洞。
3、绕过文件上传检查功能
在许多语言的函数中,比如在C、PHP等语言的常用字符串处理函数中,0x00被认为是终止符。
常见文件上传检查方法:
- 判断文件名后缀
- 判断上传文件的文件头来验证文件的类型
绕过方法:
- 在文件名后添加一个%00字节,可以截断某些函数对文件名的判断。
比如:应用原本只允许上传JPG图片,那么可以构造文件名(需要修改POST包)为xxx.php%00.JPG,对于服务器而言,此文件因为%00字节截断,最终解析文件为xxx.php。
- 伪造文件头绕过应用中检查文件头的函数。
将真正的PHP脚本语言附在合法文件头之后
4、常见服务器文件上传漏洞
4.1、Apache文件解析问题
Apache对文件名的解析是从后往前解析的,直到遇见一个Apache认识的文件类型为止。比如:
因为Apache不认识 .rar这个文件类型,所以会一直遍历后缀到 .php,然后认为这是一个PHP类型的文件。
那么Apache怎么直到哪些文件是它所认识的呢?这些文件类型定义在Apache的mime.types文件中。
4.2、IIS文件解析问题
(1)当文件名为abc.asp;xx.jpg时,IIS 6会将此文件解析为abc.asp,文件名被截断了,从而导致脚本被执行。比如:
会执行xyz.asp,而不会解析abc.jpg。(2)IIS 6还出过一个漏洞。因为处理文件夹扩展名出错,导致将/*.asp/目录下的所有文件都作为ASP文件进行解析。比如:
abc.jpg文件会被当做ASP文件进行解析。注意:以上两个解析漏洞,是需要在服务器的本地硬盘上确实存在这样的文件或者文件夹,若只是通过Web应用映射出来的URL,则是无法触发的。
(3)支持PUT功能所导致的上传脚本问题。
PUT是WebDave中定义的一个方法,它允许用户上传文件到指定的路径下。如果IIS支持目录写权限,同时开启了WebDav,则会支持PUT方法,再结合MOVE方法,就能将原本只允许上传文本文件改写为脚本文件,从而执行webshell。MOVE能否执行成功,取决于IIS服务器是否勾选了 “ 脚本资源访问 ”。4.3、PHP CGI路径解析问题
FastCGI知识
问题:当访问
服务器会将test.jpg当作PHP进行解析。notexist.php是不存在的文件。漏洞原因:在fastcgi方式下,PHP获取环境变量的方式有关。
PHP的配置文件中有一个关键的选项:cgi.fix_pathinfo,这个选项默认是开启的:
cgi.fix_pathinfo = 1修复方法:将cgi.fix_pathinfo设置为0。
4.4、利用上传文件钓鱼
利用文件上传功能,钓鱼者可以先将包含了HTML的文件上传到目标网站,然后通过传播这个文件的URL进行钓鱼,而URL中不会出现钓鱼地址,更具有欺骗性。
5、设计安全的文件上传功能
5.1、文件上传的目录设置为不可执行
只要Web容器无法解析该目录下的文件,即使攻击者上传了脚本文件,服务器本身也不会收到影响,因此此点至关重要。在实际应用中,很多大型网站文件上传后会放到独立的存储上,做静态文件处理,一方面方便使用缓存加速,降低性能损耗;另一方面也杜绝了脚本执行的可能。
5.2、判断文件类型
在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,推荐白名单方式。对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。
5.3、使用随机数改写文件名和文件路径
文件名被修改后,攻击者无法访问到上传的脚本文件,因此无法实施攻击。
5.4、单独设置文件服务器的域名
由于浏览器同源策略的关系,一系列客户端攻击将失效。
-
读书笔记-白帽子讲web安全-文件上传漏洞
2018-10-25 10:34:361,文件上传漏洞概述 (1)从FCKEditor文件上传漏洞谈起 (2)绕过文件上传检查功能 ...(1)文件上传的目录设置为不可执行 (2)判断文件类型 (3)使用随机数改写文件名和文件路径 (4)单独设置文件服务器的...展开全文1,文件上传漏洞概述
(1)从FCKEditor文件上传漏洞谈起
(2)绕过文件上传检查功能
2,功能还是漏洞
(1)apache文件解析问题
(2)IIS文件解析问题
(3)PHP CGI路径解析问题
(4)利用上传文件钓鱼
3,设计安全的文件上传功能
(1)文件上传的目录设置为不可执行
(2)判断文件类型
(3)使用随机数改写文件名和文件路径
(4)单独设置文件服务器的域名
-
nginx上传目录配置,禁止执行权限
2015-10-28 23:52:00我们经常会把网站的图片文件上传目录设置为只可上传文件但不能执行文件,就是要禁止执行权限,小编来给大家举一个上传目录配置,禁止执行权限方法,各位可参考。 如果不让有执行权限最简单的办法 代码如下 ... -
文件上传漏洞的修复
2021-01-09 19:42:47文章目录文件上传目录设置为不可执行权限判断文件类型(白名单)使用随机数、时间戳改写文件名和文件路径单独设置文件服务器域名小结 在上一篇的文件上传漏洞的文章中,我们提到过"文件上传"的功能本身是没有问题的... -
postman批量执行上传文件操作时,文件丢失
2020-12-16 16:35:26前文:如何单个接口配置文件上传操作就不逐一说明了,本文主要解决批量执行文件上传时,文件丢失,导致批量执行失败的解决方案 第一步:找到设置,下图为mac系统操作,windows可自行百度 第二步:设置文件访问... -
不安全文件下载与上传之——文件上传漏洞修复方案
2020-04-08 00:04:281.最有效的,将文件上传目录直接设置为不可执行,对于Linux而言,撤销其目录的’x’权限;实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理,不对任何动态文件作出解析,一是方便使用缓存加速... -
Pluck Cms文件上传结合命令执行复现
2021-03-14 14:54:36目录下有.htaccess文件,直接把php设置为不可解析,所以无法直接访问 所以就想到需要找一个位置对其进行包含,来达到执行的目的。 首先看到admin.php中关于theme的部分 跟进 data/inc/theme.php,发现调用了get_... -
web服务端安全之文件上传漏洞
2015-11-14 16:26:00一、文件上传漏洞的原理 ...1、上传目录设置为不可执行; 2、严格判断文件类型,使用白名单而不是黑名单; 3、使用随机数改写上传后的文件名和文件路径; 4、单独设置文件服务器及域名; 转载于:https://www... -
微标ASP无组件上传类 v1.3(无刷新、多文件上传,并且可查杀木马,utf-8格式)
2018-10-18 23:25:332.clsUpload.asp中的参数设置说明: (1)AllowFiles 所允许上传的文件格式,默认为"jpg,jpeg,gif,png"。 (2)MaxDownFileSize 允许上传的文件大小,默认30M,注意iis默认限制就200k,您需要在iis那儿做设置,网站... -
在网站所在文件夹创建软件策略,阻止黑客通过网站上传的程序文件的运行
2017-01-06 22:28:08在服务器上通过gpedit.msc打开组策略 右击其他规则右边的窗口,选择新建路径规则 ...按以上设置,每一个网站路径设置一条规则,安全级别设置...则网站跟目录,子目录有黑客上传的可执行文件,bat文件等都不能执行 -
Java上传截断漏洞的解决方案
2016-11-25 10:04:001. 最有效的,将文件上传目录直接设置为不可执行,对于Linux而言,撤销其目录的'x'权限;实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理,一是方便使用缓存加速降低能耗,二是杜绝了脚本执行... -
web上传漏洞原理,如何进行防御手段
2020-07-21 09:55:40最有效的,将文件上传目录直接设置为不可执行,对于Linux而言,撤销其目录的’x’权限;实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理,一是方便使用缓存加速降低能耗,二是杜绝了脚本执行的... -
gansible:Gansible是一种轻量级的cli工具,用于在多个设备上并行执行命令-源码
2021-04-02 00:21:05可并发在一个服务器上执行命令,上传下载文件或目录,执行本地脚本。 主要特性 并发在多个设备上执行任务。或10个并发,可通过--forks参数设置并发数量,最大10000。 可设置ssh连接超时时间。至少90秒,可通过--ssh-... -
jQuery上传插件Uploadify 3.2在.NET下的详细例子
2016-08-19 10:13:32alert("上传的文件数量已经超出系统限制的"+$('#file_upload').uploadify('settings','queueSizeLimit')+"个文件!"); break; case -110: alert("文件 ["+file.name+"] 大小超出系统限制的"+$('#file_upload'... -
paperless-ng:无纸化的增强版本:扫描,索引和存档所有物理文件-源码
2021-01-31 06:58:43当然,如果扫描仪不知道如何自动将文件上传到某处,则始终可以手动进行。 无纸化不在乎文档如何进入其本地使用目录。 或者,您可以使用任何移动扫描应用程序。 如果您使用的是Android设备,我们有一个应用程序可让... -
FilesNet文件管理器 v1.4.6102
2021-03-30 02:34:33真正多用户系统,可分别为每个用户设置可管理的文件类型,目录等,上传的单个文件大小限制等。6。各用户环境自由配置,风格自选(如果有多个风格的话),可自由设置每页显示的文件及目录数等。7。文件与目录翻页分开... -
WaterCooler-Chat:WaterCooler聊天是一个简单的平面文件db聊天系统,可让您随时随地嵌入聊天容器。...
2021-02-01 05:11:24如果看到破碎的图像,请在“ settings.php ”中定义INCLUDE_DIR常量-从Web根到聊天目录的相对路径(在第一次运行时,系统将尝试自动执行此操作) 选择一个名称并登录,在您的个人资料选项中设置密码,以便被分配为... -
密码管家 - 最强大的密码管理助手(2012年2月2日重新上传v2.5.0)
2012-02-02 19:02:401. 修正了进入设置、帮助和关于等界面时标题可能会错误显示为‘登录’的问题。 2. 修正了在记录内容查看界面中划屏翻页操作无效的问题。 3. 修正了在密码自动生成界面中生成长密码时会导致界面显示错乱的问题。 ... -
网站上传仿百度文库豆丁控件
2011-05-31 22:58:23之后,dll文件会在其所在目录生成一个名为 o2ftemp.bat的批处理文件。之后,每10秒,由监视器程序检查并执行一次这个批处理。 生成swf文件。 为什么这么麻烦呢?因为:1我不会.net程序,也找不到资料。2.因为IIS运行... -
-
spell-book:点文件-源码
2021-03-18 23:08:25自动关机,可设置缓慢调暗灯光,缓慢降低歌曲音量和打开监视器的状态 -提取任何东西 在后台打开glava,支持多个屏幕 下载最近6张上传到壁纸。 来自我一生的爱的礼物 -围绕dmenu和fzf的包装器以统一他们的选择,这... -
秋亿网络文件管理
2013-01-25 12:32:286、改进文件上传页面设置。 v4.0 SP1 更新: 1、更正在线编辑文件保存错误的漏洞,改进文件编辑增加ADO读取文件(为了对不同编码文件读取)。 2、更正不开启限制IP登陆功能也提示信息的漏洞。 3、改进IE... -
PHP网站目录程序-织梦二次开发 v5.7
2019-10-24 23:41:29现在网络上很多的网站分类目录都是ASP格式,唯一一个PHP的程序因为文章功能和可扩展性太弱,考虑到自己的需要和织梦的可扩展性和SEO效果,特开发此套程序,网络首创,CHINAZ首发。 安装过程: 1,上传压缩文件到... -
FilesNet文件管理器 v1.3.5065
2005-05-29 12:06:34真正多用户系统,可分别为每个用户设置可管理的文件类型,目录等,上传的单个文件大小限制等。6。各用户环境自由配置,风格自选(如果有多个风格的话),可自由设置每页显示的文件及目录数等。7。文件与目录翻页分开... -
FilesNet文件管理系统 v1.7.6304
2006-03-31 10:46:07真正多用户系统,可分别为每个用户设置可管理的文件类型,目录等,上传的单个文件大小限制等 6。各用户环境自由配置,风格自选(如果有多个风格的话),可自由设置每页显示的文件及目录数等 7。文件与目录翻页分开... -
FilesNet文件管理系统 v1.0.4021
2004-08-17 09:04:01真正多用户系统,可分别为每个用户设置可管理的文件类型,目录等,上传的单个文件大小限制等 6。各用户环境自由配置,风格自选(如果有多个风格的话),可自由设置每页显示的文件及目录数等 7。文件与目录...
收藏数
499
精华内容
199