【安全开发】警惕文件上传漏洞 | 青训营

debidong
98 阅读4分钟

0x00 术语

文件上传漏洞是指存在于应用程序或网站中的一种安全漏洞,允许攻击者通过上传恶意文件来执行恶意操作。这类漏洞通常发生在需要用户上传文件的功能中,如图像上传、文档上传、附件上传等。攻击者可以通过利用这种漏洞,上传包含恶意代码、恶意脚本或恶意软件的文件,然后通过执行这些文件来危害系统的安全性。

文件上传漏洞可能导致以下问题:

  • 远程代码执行:攻击者可以上传包含恶意代码的文件,然后通过执行这些代码来在受影响的服务器上执行任意操作,从而完全控制服务器。
  • 文件覆盖:攻击者上传具有与现有文件相同名称的文件,覆盖了合法文件。这可能导致系统的功能丧失,数据丢失,或者用户无法访问原本应该访问的文件。
  • 文件包含:攻击者上传文件并尝试将其包含在应用程序的其他部分中,从而导致应用程序执行未预期的操作或披露敏感信息。
  • 服务器拒绝服务(DoS):攻击者可能上传大型文件,耗尽服务器资源,导致服务器无法正常处理其他请求。
  • 恶意文件传播:攻击者可以上传恶意软件、病毒、间谍软件等文件,通过这些文件传播恶意软件。

0x01 文件上传漏洞的防范

输入验证

对上传文件的类型、大小和内容进行验证,确保只有允许的文件类型和大小被接受。

下面用Python举例说明输入验证策略。函数接收文件名并尝试获取文件的扩展名。当文件名中存在 . 并且转换为小写的扩展名在 ALLOWED_EXTENSIONS 之内,则返回真值。

ALLOWED_EXTENSIONS = ['jpg', 'png']
​
def allowed_file(filename):
    return '.' in filename and filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

在Python中,我们可以使用 os.path.getsize() 来检测文件的大小。

import os
​
def get_file_size(file_path):
    try:
        size = os.path.getsize(file_path)
        return size
    except OSError:
        return None

隔离上传文件

将上传的文件存储在不同的目录下,限制其访问权限,从而防止恶意文件被执行。

  • 在服务器上创建一个专门用于存储上传文件的目录,与应用程序的其他部分隔离开来。
  • 确保上传的文件没有执行权限,以防止攻击者尝试通过上传恶意可执行文件来执行代码。
  • 为每个上传的文件生成唯一的文件名,以避免文件名冲突和覆盖。

下面用Django举例如何隔离上传文件。

from rest_framework.parsers import FileUploadParser
from rest_framework.response import Response
from rest_framework.views import APIView
from rest_framework import status
​
# Set an isolated folder as upload folder
UPLOAD_FOLDER = 'uploads/'class FileUploadView(APIView):
    parser_classes = (FileUploadParser,)
​
    def post(self, request):
        file = request.data['file']
        if file:
            with open(UPLOAD_FOLDER + file.name, 'wb') as dest:
                for chunk in file.chunks():
                    dest.write(chunk)
            return Response(status=status.HTTP_201_CREATED)
        else:
            return Response(status=status.HTTP_400_BAD_REQUEST)

在Linux下可以使用 chmod 移除目录下文件的执行和读写权限。

重命名文件

为上传的文件分配随机生成的名称,以防止攻击者通过预测文件名来覆盖合法文件或访问一句话木马。

以Python的 random.choice() 为例,生成随机字符串。

import random
import string
​
def random_string(length):
    letters = string.ascii_letters + string.digits
    return ''.join(random.choice(letters) for _ in range(length))

内容检测

对上传的文件进行扫描,以检测是否包含恶意代码。

ClamAV 是一个常用的开源病毒扫描引擎,用于检测恶意代码和病毒。当涉及到执行外部命令、处理进程等操作时,使用 subprocess 是一种常见和推荐的做法,因为它提供了一个方便的接口来与系统进程进行交互,方便错误处理,并且能够保证一定的安全性。

使用 subprocess.run() 函数来启动一个新的子进程,执行特定的外部命令或程序。通过标准输入(stdin)、标准输出(stdout)和标准错误(stderr)等通道与子进程进行通信。

import subprocess
​
def scan_file_with_clamav(file_path):
    try:
        result = subprocess.run(['clamscan', '--stdout', '-i', file_path], stdout=subprocess.PIPE)
        output = result.stdout.decode('utf-8')
        if "OK" in output:
            return True
        elif "FOUND" in output:
            return False
        else:
            return None
    except Exception as e:
        return None
avatar
文章
阅读
粉丝