xheditor漏洞 php,web安全及防御 - 上传漏洞

Web应用程序通常会有文件上传的功能，例如，在BBS发布图片、在个人网站发布Zip压缩包、在招聘网站上发布DOC格式简历等。只要Web应用程序允许上传文件，就有可能存在文件上传漏洞。

1. 解析漏洞

攻击者在利用上传漏洞时，通常会与Web容器(IIS、Nginx、Apache、Tomc等at)的解析漏洞配合在一起

IIS解析漏洞：当建立*.asa、*.asp格式的文件夹时，其目录下的任意文件都将被IIS当作asp文件来解析，在浏览器打开文件时，内容就会直接暴漏在浏览器里，上传的话，危险脚本就会运行起来，达到攻击的目的；

如：http://127.0.0.1/parsing.asp/test.txt

Apache解析漏洞；

PHP CGI解析漏洞；

2. 绕过上传漏洞

程序员在防止上传漏洞时可以分为以下两种：

客户端检测：客户端使用JavaScript检测，在文件未上传时，就对文件进行验证；

因此，绕过客户端的检测来达到攻击的方式有以下两种：

(1)使用FireBug：找到html源代码里面的Form表单，将onsubmit事件删除，JavaScript上传验证将会失效。

(2)中间人攻击：使用Burb Suite则是按照正常的流程通过JavaScript验证，然后在传输中的HTTP层做手脚。(在上传时使用Burb Suite拦截上传数据，修改文件扩展名，就可以绕过客户端验证)。

注意：任何客户端验证都是不安全的。客户端验证是防止用户输入错误，减少服务器开销，而服务器端验证才可以真正防御攻击者。

服务端检测：服务端脚本一般会检测文件的MIME类型，检测文件扩展名是否合法，甚至有些程序员检测文件中是否嵌入恶意代码。

主要有以下几种，但也有存在漏洞的可能：

(1)白名单与黑名单验证

在上传文件时，大多数程序员会对文件扩展名检测，验证文件扩展名通常有两种方式：白名单与黑名单。

黑名单过滤方式：是一种不安全的过滤方式，黑名单定义了一系列不允许上传的文件的扩展名，服务器端接收文件后，与黑名单扩展名对比，如果发现文件扩展名与黑名单里的扩展名匹配，则认为文件不合法。举例子：

$BlackList = array('asp', 'php', 'jsp', 'php5', 'asa', 'aspx'); // 黑名单

//然而并不能很好的防御： .cer文件并没有在黑名单里，则，可以通过验证，因此是无法防御上传漏洞的。

白名单过滤方式：与黑名单恰恰相反，定义一系列允许上传的扩展名，白名单拥有比黑名单更好的防御机制。举例子：

$WhiteList = array('rar', 'jpg', 'png', 'bmp', 'gif', 'doc'); // 白名单

// 然而并不能很好的防御：

// 例如：Web容器为IIS 6.0，攻击者把木马文件改名为pentest.asp;1.jpg上传，此时的文件为jpg格式，从而可以顺利通过验证，而IIS 6.0却会把pentest.asp;1.jpg当作asp脚本程序来执行，最终攻击者可以绕过白名单的检测，并且执行木马程序。

// 白名单机制仅仅是防御上传漏洞的第一步。

(2)MIME验证

MIME类型用来设定某种扩展名文件的打开方式，当具有该扩展名的文件被访问时，浏览器会自动使用指定的应用程序来打开。如GIF图片MIME为image/gif，css文件MIME类型为text/css。

// 开发人员经常会对文件MIME类型做验证，PHP代码如下：

if ($_FILES['file']['type'] == 'image/jpg'){ // 判断是否是jpg格式

// ...

}

因此，如果上传PHP文件时，并使用Burp Suite拦截查看MIME类型，可以发现PHP文件的MIME类型为application/php，而上面代码中会判断文件类型是否为image/jpg，显然这里无法通过验证。

但是在拦截的时候可以将HTTP请求中的content-Type更改为image/jpg类型，这样即可通过程序验证，达到攻击的目的。

(3)目录验证

再文件上传时，程序员通常允许用户将文件放到指定的目录中，然而有些Web开发人员为了让代码更“健壮”，通常会做一个动作，如果指定的目录存在，就将文件写入目录中，不存在则先建立目录，然后再写入文件。

攻击方式：通过使用工具将普通的文件夹名称改为.asp格式的目录，称为畸形文件夹，然后提交一句话图片木马文件，即上传成功后，这个网页木马就会被解析，从而使下攻击。

(4)截断上传攻击

也是使用工具进行拦截更改。

截断上传攻击在ASP程序中最常见，在PHP、JSP也会存在这样的攻击问题。

3. 文本编辑器上传漏洞

常见的文本编辑器有CKEditor、Ewebeditor、UEditor、KindEditor、XHeditor等。这类编辑器的功能都是非常类似的，比如都有图片上传、视频上传、远程下载等功能，这类文本编辑器也称为副文本编辑器。

使用此类编辑器减少了程序开发的时间，但是却增加了许多安全隐患，比如：使用CKEditor编辑器的有10万个网站，如果CKEditor爆出一个GetShell漏洞，那么着10万个网站都因此受到牵连。主要的漏洞体现在以下几种：

(1)敏感信息暴露。

(2)黑名单策略错误：黑名单有漏掉的扩展名。

(3)使用Burp Suite拦截修改，达到任意文件都可以上传。

【修复上传漏洞】

经过前面分析上传漏洞之后，我们知道上传漏洞最终的形成原因主要有以下几点：

目录过滤不严，攻击者可能建立畸形目录；

文件未重命名，攻击者可能利用Web容器解析漏洞。

因此，上传文件时需要做到以下几个步骤：

(1)接收文件及其文件临时路径。

(2)获取扩展名与白名单做对比，如果没有匹配到，则退出程序。

(3)对文件进行重命名，防止web容器解析漏洞。

上传漏洞完全可以避免，仅仅需要做到：【对路径进行验证】、【对文件进行随机重命名】。