文件上传攻防

一、攻击方手段

 

1. 上传恶意脚本文件

 

- 攻击原因：通过上传 WebShell 脚本，攻击者可以在服务器上执行任意命令，从而获取服务器的控制权，窃取敏感信息、篡改网页内容、进行进一步的攻击扩散等。例如，获取数据库中的用户信息、安装其他恶意软件等。

- 常见的 WebShell 有中国菜刀、蚁剑等连接工具配合使用，这些工具可以与上传的 WebShell 进行交互，方便攻击者执行各种命令。

2. 利用文件扩展名绕过检测

 

- 攻击原因：很多服务器端的文件上传检测机制主要是基于文件扩展名进行判断，如果能够找到一种不被检测机制识别的扩展名，就有可能成功上传恶意文件。例如，一些服务器可能只允许上传图片文件，但攻击者通过使用不常见的扩展名或者双扩展名，试图欺骗服务器认为这是一个合法的图片文件。

- 比如使用“.php5”、“.phtml”、“.php.jpg”等扩展名，其中“.php5”和“.phtml”在某些服务器配置下可能被误认为是合法的文件类型，而“.php.jpg”则可能在只检查扩展名的服务器上被认为是图片文件而允许上传，但实际上可以通过解析漏洞被当作 PHP 脚本执行。

3. 利用文件内容混淆

 

- 攻击原因：服务器端的安全检测工具通常会对文件内容进行分析，以检测是否包含恶意代码。通过对恶意脚本文件的内容进行编码、加密或混淆，可以使检测工具难以识别出恶意代码，从而增加上传成功的几率。

- 上传成功后，再通过特定的方式在服务器上进行解码或解密执行。例如，使用一些特定的加密算法对恶意脚本进行加密，然后在服务器上通过一段解密代码将其还原为可执行的恶意脚本。

4. 上传可执行文件

 

- 攻击原因：如果服务器环境允许执行可执行文件，攻击者可以上传恶意的可执行文件，直接在服务器上运行，执行各种恶意操作。例如，上传一个木马程序，获取服务器的控制权，或者上传一个病毒程序，感染服务器上的其他文件。

- 可执行文件的威力通常较大，可以执行更复杂的恶意操作，而且在某些情况下，服务器的安全防护可能对可执行文件的检测不够严格。

 

二、防御方措施

 

1. 文件类型检测

 

- 防御原因：严格检查上传文件的扩展名可以有效地阻止攻击者上传恶意脚本文件和其他危险文件类型。只允许特定的安全文件类型上传，如图片文件、文档文件等，可以降低服务器被攻击的风险。

- 通过文件头信息（magic number）来进一步确认文件的真实类型，可以防止攻击者通过修改扩展名绕过检测。因为文件头信息是文件的特定标识，不同类型的文件有不同的文件头信息，通过检查文件头信息可以更准确地确定文件的真实类型。

2. 文件大小限制

 

- 防御原因：设置合理的文件上传大小限制可以防止上传过大的文件占用服务器资源。攻击者可能会上传非常大的文件来耗尽服务器的存储空间或网络带宽，导致服务器性能下降或无法正常服务。

- 同时，限制文件大小也可以减少攻击的可能性，因为一些恶意文件可能比较大，通过限制大小可以阻止这些文件的上传。

3. 目录权限控制

 

- 防御原因：确保上传文件的存储目录没有执行权限可以防止上传的恶意文件被直接执行。如果上传目录有执行权限，攻击者上传的恶意脚本文件可能会被服务器执行，从而导致服务器被攻击。

- 通过限制目录权限，可以将上传的文件限制为只读或只写，避免恶意文件被执行。

4. 安全扫描

 

- 防御原因：使用安全扫描工具对上传的文件进行实时扫描可以及时发现并阻止包含恶意代码的文件上传。安全扫描工具可以检测文件中的病毒、木马、恶意脚本等危险内容，保护服务器的安全。

- 实时扫描可以在文件上传的过程中进行检测，一旦发现恶意文件，立即阻止上传，从而有效地防止攻击。

5. 随机文件名

 

- 防御原因：上传成功后，将文件重命名为随机生成的文件名可以避免攻击者通过猜测文件名来访问上传的文件。如果文件名是可预测的，攻击者可能会尝试访问上传的文件，执行恶意代码或获取敏感信息。

- 随机文件名可以增加攻击者访问文件的难度，提高服务器的安全性。

6. 白名单机制

 

- 防御原因：只允许从特定的来源或特定的用户上传文件，可以有效地控制文件上传的风险。通过建立白名单列表，可以确保只有经过授权的用户或来源才能上传文件，防止攻击者伪造身份上传恶意文件。

- 白名单机制可以提供更严格的访问控制，减少攻击的可能性。