php 恶意上传,阻止用户通过表单上传恶意PHP文件

最新推荐文章于 2023-03-15 16:23:46 发布
最新推荐文章于 2023-03-15 16:23:46 发布
阅读量310 收藏
点赞数
文章标签: php 恶意上传

Im really worried about people being able to upload malicious php files, big security risk!

冰山一角!

i also need to be aware of people changing the extensions of php files trying to get around this security feature.

通常更改扩展将阻止PHP将这些文件解释为脚本。但这不是唯一的问题。有比’… php’更多的东西可以损坏服务器端; ‘.htaccess’和X位设置的文件是显而易见的,但绝不是你所有的担心。即使忽略服务器端的东西,也有一个巨大的客户端问题。

例如,如果有人可以上传“.html”文件,则他们可以包含< script>标记,它会劫持第三方用户的会话,并删除其所有上传的文件或更改其密码或其他内容。这是一个经典的跨站点脚本(XSS)攻击。

此外,由于一些浏览器(主要是IE)的“内容嗅探”行为,上传为“.gif”的文件实际上可能包含这种恶意的HTML。如果IE在文件开头附近看到类似(但不限于)“< html>”的指示符,则它可以忽略所提供的“Content-Type”并显示为HTML,从而导致XSS。

此外,可以制作一个文件,它是图像解析器将接受的有效图像,并且包含嵌入的HTML。根据用户浏览器的确切版本以及图像文件的确切格式(特别是JPEG具有可能的报头格式的非常可变的集合),存在各种可能的结果。在IE8有mitigations进来,但是现在没有用,你不得不想知道为什么他们不能简单地停止做内容嗅探,你惹恼了MS,而不是加重我们的HTTP标头的HTTP标头应该有刚刚工作在第一位。

我又陷入了一场咆哮。我会停下来。安全地提供用户提供的图片的策略:

1:不要使用从用户输入获取的文件名将文件存储在服务器的文件系统上。这防止错误和攻击:不同的文件系统有不同的规则,关于什么字符是允许的文件名中的哪里,并且它比你可能认为“sanitize”文件名更困难。

即使你采取了一些非常限制性的,如“只有ASCII字母”,你仍然需要担心太长,太短和保留名称:尝试保存文件作为无害的名称作为“com.txt”在Windows服务器,并观看您的应用程序下来。认为你知道你的应用程序可能运行的每个文件系统的路径名的所有古怪的foibles?信心?

相反,将文件详细信息(如名称和介质类型)存储在数据库中,并使用主键作为文件存储中的名称(例如“74293.dat”)。然后,您需要一种方法来为它们提供不同的明显文件名,例如下载脚本使文件分散,下载脚本执行Web服务器内部重定向或URL重写。

2:非常,非常小心使用ZipArchive。已经遍历vulnerabilities在extractTo的同一类,影响了大多数天真的基于路径的ZIP提取器。此外,你从ZIP bombs开始攻击。最好避免任何危险的文件名,通过逐步通过档案中的每个文件条目(例如使用zip_read/zip_entry_*)和检查其详细信息,然后手动解压缩其流到已知的文件 – 良好的名称和模式标志,您生成没有存档的帮助。忽略ZIP中的文件夹路径。

3:如果您可以加载图像文件并将其再次保存,特别是如果您以某种方式在其间进行处理(例如调整图像文件大小/缩略图或添加水印),您可以合理地确定结果将是清洁。理论上,有可能制作一个针对特定图像压缩器的图像,所以当它被压缩时,结果也会像HTML,但这似乎是一个非常困难的攻击我。

4:如果你可以放弃以下载(即在下载脚本中使用“Content-Disposition:attachment”)来提供所有的图片,你可能是安全的。但这可能给用户带来不便。这可以与(3)一起工作,但是,以更小的,经处理的图像内联,并且具有原始的较高质量图像可用作仅下载。

5:如果您必须以内联方式提供未更改的图片,则可以通过从其他域提供跨网站脚本风险来消除这些风险。例如,对于不受信任的图片使用“images.example.com”,对于包含所有逻辑的主网站使用“www.example.com”。请确保cookie仅限于正确的虚拟主机,并且虚拟主机已设置为无法对除其正确名称以外的任何内容作出响应(另请参阅:DNS重绑定攻击)。这是许多webmail服务。

总之,用户提交的媒体内容是一个问题。

总结总结,AAAARRRRRRRGGGGHHH。

ETA重新评论:

at the top you mentioned about ‘files with the X bit set’, what do you mean by that?

我不能说ZipArchive.extractTo(),因为我没有测试它,但许多提取器,当被要求从存档中转储文件,将重建[某些]与每个文件相关联的Unix文件模式标志(if存档是在Unix上创建的,所以实际上有模式标志)。这可能会导致您的权限问题,例如,所有者读取权限丢失。但是如果您的服务器启用了CGI,它也可能是一个安全问题:X位可以允许将文件解释为脚本并传递到第一行上的hashbang中列出的任何脚本解释器。

i thought .htaccess had to be in the main root directory, is this not the case?

取决于Apache是​​如何设置的,特别是AllowOverride指令。通用主机在任何目录上都允许AllowOverride是很常见的。

what would happen if someone still uploaded a file like ../var/www/wr_dir/evil.php?

我希望领先的’..’将被丢弃,这是其他工具,遭受了同样的脆弱性已经做了。

但我仍然不会信任extractTo()对敌对的输入,有太多奇怪的小文件名/目录树的东西可能会出错 – 尤其是如果你期望永远运行在Windows服务器。 zip_read()可以更好地控制解密过程,因此攻击者更少。

齐露露
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 恶意上传,如何防止恶意文件上传到我的服务器上?(检查文件类型)?
weixin_30874365的博客
03-28 715
我的问题是避免用户在我的web服务器上上传恶意文件。我在linux环境(debian)上工作。实际上,上传是通过以下代码通过php处理的:function checkFile($nomeFile, $myExt = false){if($myExt != false){ $goodExt = "_$myExt"."_"; }else{ $goodExt = "_.jpg_.bmp_.zip_.pd...
php解决和避免form表单重复提交的几种方法
12-18
前言 为什么要避免form表单被重复提交呢?因为我们不想让我们的服务器重复处理没必要的数据,同时我们也是避免我们的数据库产生重复的数据,避免表单重复提交也是让我们的网站更安全的一种表现。 先看一下有哪些情况下回导致表单重复提交呢,知道哪些情况下可能会出现表单重复提交就可以从根源处理表单重复提交的情况了。 下面的情况就会导致表单重复提交:       点击提交按钮两次。       点击刷新按钮。       使用浏览器后退按钮重复之前的操作,导致重复提交表单。       使用浏览器历史记录重复提交表单。       浏览器重复的HTTP请求。       网页被恶意刷新。 下面是几种解决办法
PHP 安全:如何防范用户上传 PHP 可执行文件
weixin_34071713的博客
01-15 239
每个专业的 PHP 开发者都知道用户上传文件都是极其危险的。不论是后端和前端的黑客都可以利用它们搞事情。 大约在一个月前,我在 reddit 上看了一篇 PHP 上传漏洞检测 ,因此, 我决定写一篇文章。用户 darpernter 问了一个棘手的问题: 尽管我将其重命名为 'helloworld.txt', 攻击者是否仍然能够运行他的php 脚本? 置顶的答复是: 如果文件后缀修改为 ....
php防止恶意频繁刷新页面或form提交
weixin_33795806的博客
11-07 2146
php防止恶意频繁刷新页面或form提交 很多方法:(以下仅简单方法的简单思路,对于防止菜鸟“黑客”足矣): 1、检测referer来源地址是否为本站。($_SERVER['HTTP_REFERER']) 2、使用验证码来验证数据提交的合法性,能使用验证码就尽量使用。 3、记录IP,一定时间内禁止此ip进行二次提交/刷新。 4、前台用js生成随机加密码...
php禁止上传,PHP禁止某些类型的上传文件_PHP教程
weixin_39519741的博客
03-17 758
为了防止某些人将 exe 之类的可执行文件上传到服务器,我们可以编写程序判断上传文件的类型,然后不符合类型的文件将会拒绝上传。下面是实现这一功能的 PHP 程序:function ($file_name, $pass_type = array('jpg','jpeg','gif','bmp','png') ){// 允许文件类型的后缀组成的数组$file = $pass_type;// 截取上传文...
php防提交恶意代码的一些知识
08-14 256
浏览器遇到,会认为有两个大小于号是种html标签。 于是真想输出“”到浏览器的话,就需要将号变成实体标记,即<a> 这样便可以原样输出 于是当用户提交一段恶意代码如: alert(1);
php实现表单提交上传文件功能
12-19
在处理表单数据时,还可以结合JavaScript和AJAX技术,实现无刷新的文件上传,提高用户体验。例如,使用jQuery的AJAX方法,可以在不离开当前页面的情况下完成文件上传。 总的来说,PHP实现表单提交上传文件功能涉及...
php – 前端表单上传文件并保存到指定服务器目录
01-20
一个基本的文件上传表单通常包含`<input type="file">`元素,让用户选择要上传文件。在本例,我们使用以下代码创建表单: ```html 上传文件"> ``` 这里的`enctype="multipart/form-data"`是必须的,因为它...
php文件上传及mime类型大全.doc
11-28
PHP 文件上传及 MIME 类型大全 PHP 文件上传是指通过 PHP 语言将文件上传到服务器的过程,该过程涉及到多个...通过了解这些知识点,可以更好地理解 PHP 文件上传的实现机制,并且可以更好地防止用户上传恶意文件
php上传图片获取路径及给表单字段赋值的方法
12-18
- 文件上传时要验证文件类型,防止恶意文件上传。 - 使用`move_uploaded_file()`而不是直接操作文件名,以确保安全。 - 对于图片处理,可能还需要调整大小、生成缩略图等,这些可以通过GD库或其他图像处理库实现...
laravel-image-sanitize:通过上传的图像文件防止恶意代码执行
05-10
它可以防止恶意代码执行! 这是一个小巧但方便的软件包,可防止恶意代码执行通过上传的图像进入您的应用程序。 它是在 的启发下创建的 安装 您可以通过composer安装该软件包: composer require laravel-at/laravel-image-sanitize 用法 在您的App\Http\Kernel类注册ImageSanitizeMiddleware protected $ routeMiddleware = [ // ... 'image-sanitize' => \ LaravelAt \ ImageSanitize \ ImageSanitizeMiddleware ::class, ]; 然后,只需在Controller的构造函数使用它 public function __construct () { $ this -> m
php过滤引入外部危险html的代码
云博客_资源宝分享
07-09 435
PHP过滤html里可能被用来引入外部危险内容的代码。 #过滤危险代码 function uh($str) { $farr = array( "/s+/", //过滤多余的空白 "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 "/(&l
文件上传漏洞
newlife1441的博客
08-14 1553
trim()作用:从一个字符串的两端删除空白字符deldot()作用:从字符串的尾部开始,从后向前删除点.,直到该字符串的末尾字符不是.为止strrchr()作用:查找字符串在另一个字符串最后一次出现strtolower()作用:转换大小写str_ireplace()作用:字符串替换操作,不区分大小写。......
tomcat 上传目录禁止解析脚本_PHP安全之文件上传漏洞及综合防护
weixin_39968995的博客
12-15 740
无聊到看了会《PHP安全之道》,记录一次学习笔记。文件上传安全在Web系统文件上传的基本功能是必不可少的,如论坛用户上传附件、视频网站上传视频、修改头像等。文件上传漏洞的危害如果Web系统没有对上传文件格式进行合理的校验,被恶意攻击者利用上传一些webshell后,可能完全控制网站程序并执行系统命令,获取数据库链接字串进行操作数据库等危险操作。文件上传漏洞的演示简单的文件上传页面h...
文章上传漏洞绕过方式(以php语言为例)
HMX404的博客
09-23 5613
一,文件上传漏洞原因 由于网站要求,需要用户上传文件,图片,例如头像,保存简单文件上传下载,访问,如果我们将文件上传至web服务器上,并且可以访问到,那么就可以利用小马,对服务器进行操作,或者了解一些信息。因此在上传位置,代码会对上传文件进行检查,但不免会有漏洞,通过代码审计,可以得出网页漏洞。 二,文件上传漏洞绕过方式 前端验证 前端认证最容易绕过,我们将验证代码部份删除,或者将js函数返回值设为1,无论上传什么文件,都是满足的文件就可以上传了,看浏览器接受了那些js文件,在js寻找验证函数,利用工
php nginx环境文件上传限制修改
最新发布
chenghuadadao的博客
03-15 409
指通过表单POST给PHP的所能接收的最大值,包括表单里的所有值。# keepalive_timeout 的值最好也修改一下,否则phpmyadmin上传的时候很容易time out。一般地,设置好上述四个参数后,上传<=8M的文件是不成问题,在网络正常的情况下。每个PHP页面所吃掉的最大内存,默认8M。但如果要上传>8M的大体积文件,只设置上述四项还一定能行的通。
PHP上传目录禁止执行php文件的方法
美奇软件开发工作室
10-10 1938
导读: 禁止上传目录运行php等可执行文件,可以从一定程度上增加网站的安全性。 禁止上传目录运行php的方法一共有下面三种。 需要防范的PHP文件有三种类型: 第一种类型. 正常php文件 a.php 第二种类型. php扩展名有大小写 a.pHp a.PHP a.Php 第三种类型. 双重扩展名文件 a.php.a a.php.xml 说明:通常只考虑防范第一种,渗透攻击常使用第二种和第三种。 【同时防范三种...
上传漏洞及防御
Wang的专栏
06-18 1103
如上面的代码,如果上传文件路径和url是对应的,那么就会被执行这些代码 在这里我们没有指定相关路由,php自动解析路径url, 所以这个漏洞在php相当严重 上传漏洞演示 此处我们使用nodejs做演示 前端程序 后端程序,我们首先要安装下支持form-data的body解析模块 $ ,之后在合适的地方引入 引入 配置 添加上传路由 后端接收上传程序 后端处理上传路径逻辑 好的,程序到此为止,如果我们正常上传图片,它会正常展示, 如果我们上传的是.js文件,它就会尝试运行.js文件,
PHP动态网站开发任务-文件上传.pptx
11-14
在服务器端处理文件上传时,通常会进行一些验证步骤,例如检查文件类型、大小,甚至可能进行文件重命名以防止恶意文件覆盖。例如,可以使用`move_uploaded_file()`函数将临时文件移动到目标目录,并进行必要的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值