YII2框架学习 安全篇(五) 文件上传漏洞
2017-06-26 22:18
387 查看
最后一节,文件上传漏洞。最近几天搬家,偷了个懒几天没更了,今天继续。
先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。
常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后缀名。代码如下
<?php
if($_POST){
$ext = pathinfo($_FILES['photo']['name'], PATHINFO_EXTENSION);
if(in_array($ext, ['png', 'jpg', 'gif'])){
echo '类型检测成功';
move_uploaded_file($_FILES['photo']['tmp_name'], './'.$_FILES['photo']['name']);
}
//$_FILES['photo']['type']
}
?>
<form method='post' enctype='multipart/form-data'>
<input type='text' name='title' value='this is a title '/>
<input type='file' name='photo'/>
<input type='submit' value='提交'/>
</form> 不过这么蠢的办法,当然是有方法破解的。利用断点续传工具在文件上传过程中篡改文件名而不被发现。比如把photo.phpkk.jpg, => photo.php:kk.jpg,文件名就会变成photo.php。
yii框架并没有提供特别的文件上传漏洞的防御方法,我查阅资料给出几个方法:
1、文件上传的目录设置为不可执行
2、判断文件类型:强烈推荐白名单方式。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。
3、使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。
4、单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。
先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。
常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后缀名。代码如下
<?php
if($_POST){
$ext = pathinfo($_FILES['photo']['name'], PATHINFO_EXTENSION);
if(in_array($ext, ['png', 'jpg', 'gif'])){
echo '类型检测成功';
move_uploaded_file($_FILES['photo']['tmp_name'], './'.$_FILES['photo']['name']);
}
//$_FILES['photo']['type']
}
?>
<form method='post' enctype='multipart/form-data'>
<input type='text' name='title' value='this is a title '/>
<input type='file' name='photo'/>
<input type='submit' value='提交'/>
</form> 不过这么蠢的办法,当然是有方法破解的。利用断点续传工具在文件上传过程中篡改文件名而不被发现。比如把photo.phpkk.jpg, => photo.php:kk.jpg,文件名就会变成photo.php。
yii框架并没有提供特别的文件上传漏洞的防御方法,我查阅资料给出几个方法:
1、文件上传的目录设置为不可执行
2、判断文件类型:强烈推荐白名单方式。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。
3、使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。
4、单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。
相关文章推荐
- YII2框架学习 安全篇(二) XSS攻击和防范(下)
- Android(java)学习笔记214:开源框架的文件上传(只能使用Post)
- YII2框架学习 安全篇(三) csrf攻击和防范
- web安全之文件上传漏洞攻击与防范方法
- Django框架学习笔记(28.文件上传详解)
- 【框架学习】SpringMVC上传下载文件
- 框架学习之Struts2 第四节 文件上传
- java框架Struts学习--文件上传与下载
- Django框架学习笔记(5.获取多个数据以及文件上传)
- upload4j安全、高效、易用的java http文件上传框架
- Yaws(erlang web服务器框架) 学习记录之文件上传
- Jimoshi_Struts2 框架学习(三)--valueStack和ognl、struts2验证、struts2文件上传和下载
- 【安全牛学习笔记】上传漏洞基础知识
- php函数伪静态、MVC单一入口与文件上传安全漏洞
- web安全之文件上传漏洞攻击与防范方法
- 安全培训教程之------上传文件漏洞利用
- Spring 4 官方文档学习(十一)Web MVC 框架之multipart(文件上传)支持
- web安全之文件上传漏洞攻击与防范方法
- web安全之文件上传漏洞攻击与防范方法
- Laravel框架学习(Request请求数据、Cookie、文件上传)