总体的防御核心思想
确保上传的文件不会被服务器解析成可执行的脚本,进而引发偏离功能设计的以外后果
限制文件上传的类型
①白名单结合黑名单:黑名单常常会出现遗漏或者大小写绕过的问题,所以通常采用白名单限制安全的文件类型,如
图片:.jpg .png .gif .bmp
文档:.doc .docx .pdf .txt
压缩包:.rar .zip
②类型限制:前端JS结合后端限制(这个很重要,有些网站只是前端限制,后端是没有任何检测的,这个只需要burp抓包就可以修改的东西一点都不安全)
③扩展名检测,需要防范%截断或者文件名包含空格等特殊字符的绕过方式(如Tomcat就可以用这个方式绕过),最好的方式就是重命名用户上传的文件,杜绝上传时的文件名攻击。
④对于用户上传的图片,可以考虑对其进行二次渲染或者压缩,当用户上传图片时,要求用户对图片进行截取,如上传头像可以进行这个操作,压缩最好的例子就是像qq这种每次上传转载图片时,图片的像素都会变小,越来越模糊。
限制上传文件大小
主要就是防止DDOS攻击:
①限制上传文件的大小,防止由于内存、磁盘耗尽造成的拒绝服务攻击。
②可以配置web server允许的最大POST大小。
③可以在代码层面获取上传文件的大小,根据文件类型的不同进行进一步的过滤。
确保上传文件被访问正确返回
①将文件上传目录设置为静态资源目录,防止被解析为脚本执行。
②使用代理页面隐藏真实路径,如/attachment/getfile.php?fileid=123
③使用上诉方式时,确保Content-Type与实际文件类型一致(检测文件时不要只是检测文件后缀,最主要的是在后端检测文件头是什么类型)。
④如果文件不允许在页面展示,仅允许下载,请设置Content-disposition:attachment
其他方式
①确保上传的文件放在安全的路径下,必要时可将上传的文件放于web server之外的远程服务器。
②确保web server版本为最新,防止由于web server老版本漏洞造成的文件意外解析。
③部分文件上传攻击会配合本地其他漏洞进行,所以也要保证web服务器减少其他可利用漏洞。
总结
IIS6.0文件解析漏洞
升级IIS版本,IIS5.1与IIS7.5均无此漏洞
Apache文件解析漏洞
不要使用AddHandler,改用SetHandler,写好正则,就不会有解析问题。
<FilesMatch ".+\.php$">
SetHandler application /x-httpd-php
</FilesMatch>
禁止.php.这样的文件执行,
<FilesMatch ".+\/ph(p[3457]?|t|tml)\.">
Require all denied
</FilesMatch>
Nginx文件解析漏洞
①将php.ini文件中的cgi.fix_pathinfo的值设置为0,这样PHP在解析1.php/1.jpg这样的目录时,只要1.JPG不存在就会显示404。
②将/etc/php5/fpm/pool.d/www.conf中security.limit_extensions后面的值设为.php。
Tomcat任意文件上传漏洞
①Tomcat任意文件上传漏洞环境较为苛刻,将Tomcat、JDK、PHP更新。只要一个版本不是漏洞的版本都不会有这个漏洞。
②避免开启可通过PUT方式创建JSP文件的功能。避免修改readonly的值为false,默认是true,不修改的话就不会开启PUT和DELETE方式。
