iT邦幫忙

DAY 15
5

開發web所要學習的領域系列 第 15

上傳檔案功能要謹慎

  • 分享至 

  • xImage
  •  

網站中常有可讓使用者上傳圖檔的功能,如會員類型的網站可讓會員上傳大頭貼,
但是常會淪為資安的漏洞..
以前維護某個asp的網站時,常被上傳不明的檔案,當然那個網站開發很久了,是很久之前的前人寫的,每天都要和不明人士戰鬥,研究了很久才發現他的手法:
不過當時的狀況離現在已經有段時間了,現今在IE的和IIS的安全性提高的前提下,沒又再去試過可不可行了..
當時的發現的方式是如下:
1)使用者登入為會員後,利用上傳個人大頭照的時候,先上傳一個正常的圖檔my.gif
然後瀏覽網站中的大頭照,便可得知照片的相對位置,如
http://markshu.webcsharpblog.com.tw/images/my.gif

2)利用網站可更換個人大頭貼的功能,重新上傳多個不同副檔名的照片,以便得知
程式碼中有屏除哪些負檔名,或允許哪些副檔名,如exe,xls,gif,jpg,bmp...

3)再次利用網站可更換個人大頭貼的功能,此時重新上傳個人大頭貼,然後實際是上
傳一個程式碼檔案hacker.asp

4)為跳過程式碼的檢核,因此上傳時將檔案改為hacker.asp;haha.gif

5)此時client便可執行
http://markshu.webcsharpblog.com.tw/images/hacker.asp;haha.gif

6)而hacker.asp中或許包含了檔案上傳功能或其他特殊功能

7)駭客便利用hacker.asp去延伸更多的危害,或上傳或執行有違害的
程式碼、script、執行檔、或其他檔案
如利用hacker.asp上傳複製系統中某目錄資料的script或上傳一個hacker.exe,
再上傳一個可以執行hacker.exe的程式碼,直到完全控制整個系統

不論現在還可不可行,重點是在開發網站時,往往可能疏忽了一些細節,就會被有心人士玩得很慘了
另外針對上面的問題可以用以下方式多加一層保護
1)程式碼檢察副檔名,排除特定的副檔名,如exe,asp,aspx,php...

2)程式碼控制上傳後的檔名,RENAME成自訂的邏輯檔名,如將hacker.asp;haha.gif
改為m6A7r7k592S3H2u8.gif

3)程式碼檢核上傳檔案的大小,如大頭照限制為20k以內

4)IIS中設定網站的存放圖檔資料夾權限,關閉指令碼及執行檔的權限

5)IIS關閉網站資料夾的瀏覽檔案目錄功能

6)使用url rewriter,隱藏網站真實的目錄結構或階層

順帶一提的是 有個叫做FCKEditor的HTML所見及所得編輯器,非常好用,但是那個上傳檔案的功能,需要注意把他關閉,而用自己做的上傳檔案功能,以便能掌握較多細節和安全..


上一篇
CODING STYLE
下一篇
控制項ID宣告
系列文
開發web所要學習的領域30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
ted99tw
iT邦高手 1 級 ‧ 2012-10-08 19:14:37

markshu提到:
FCKEditor

沙發

我要留言

立即登入留言