程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP綜合 >> php中文件上傳的安全問題

php中文件上傳的安全問題

編輯:PHP綜合

可以讀/etc/passwd!

這段。。

[文件上載]
PHP自動支持基於RFC 1867的文件上載,我們看下面的例子:

<FORM METHOD="POST" ENCTYPE="multipart/form-data">
<INPUT TYPE="FILE" NAME="hello">
<INPUT TYPE="HIDDEN" NAME="MAX_FILE_SIZE" VALUE="10240">
<INPUT TYPE="SUBMIT">
</FORM>

上面的代碼讓用戶從本地機器選擇一個文件,當點擊提交後,文件就會被上載到服務器。這顯然是很有用的功能,但是PHP的響應方式使這項功能變的不安全。當PHP第一次接到這種請求,甚至在它開始解析被調用的PHP代碼之前,它會先接受遠程用戶的文件,檢查文件的長度是否超過“$MAX_FILE_SIZE variable”定義的值,如果通過這些測試的話,文件就會被存在本地的一個臨時目錄中。

因此,攻擊者可以發送任意文件給運行PHP的主機,在PHP程序還沒有決定是否接受文件上載時,文件已經被存在服務器上了。

這裡我就不討論利用文件上載來對服務器進行DOS攻擊的可能性了。

讓我們考慮一下處理文件上載的PHP程序,正如我們上面說的,文件被接收並且存在服務器上(位置是在配置文件中指定的,一般是/tmp),擴展名一般是隨機的,類似“phpxXuoXG”的形式。PHP程序需要上載文件的信息以便處理它,這可以通過兩種方式,一種方式是在PHP 3中已經使用的,另一種是在我們對以前的方法提出安全公告後引入的。

但是,我們可以肯定的說,問題還是存在的,大多數PHP程序還是使用老的方式來處理上載文件。PHP設置了四個全局變量來描述上載文件,比如說上面的例子:

$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g "c:\\temp\\hello.txt")
$hello_type = Mime type of uploaded file (e.g "text/plain")

然後PHP程序開始處理根據“$hello”指定的文件,問題在於“$hello”不一定是一個PHP設置的變量,任何遠程用戶都可以指定它。如果我們使用下面的方式:

http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt

就導致了下面的PHP全局變量(當然POST方式也可以(甚至是Cookie)):

$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"

上面的表單數據正好滿足了PHP程序所期望的變量,但是這時PHP程序不再處理上載的文件,而是處理“/etc/passwd”(通常會導致內容暴露)。這種攻擊可以用於暴露任何敏感文件的內容。 

 
  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved