|
|
1、檢測文件類型,并且用用戶上存文件名保存
復(fù)制代碼 代碼如下:
if(isset($_FILES['img']))
{
$file = save_file($_FILES['img']);
if($file===false) exit('上存失敗!');
echo "上存成功!",$file;
}
function check_file($img)
{
///讀取文件
if($img['error']>0) return false;
$tmpfile = $img['tmp_name'];
$filename = $img['name'];
///讀取文件擴(kuò)展名
$len=strrpos($filename,".");
if($len===false) return false;
//得到擴(kuò)展名
$ext = strtolower(substr($filename,$len+1));
if(!in_array($ext,array('jpg','jpeg','png'))) return false;
return true;
}
function save_file($img)
{
if(!check_file($img)) return false;
//格式檢測ok,準(zhǔn)備移動(dòng)數(shù)據(jù)
$filename = $img['name'];
$newfile = "upload/" .$filename;
if(!move_uploaded_file($img["tmp_name"],$newfile)) return false;
return $newfile;
}
?>
以上代碼,對輸入類型也做了判斷,看了沒有問題。但是問題,確恰恰出現(xiàn)在對獲取的用戶名變量檢測上面。直接獲取傳入用戶名,然后存為文件。 有朋友會(huì)說:這些文件名都是我電腦里面存在的,文件名格式都受限于操作系統(tǒng)對文件名定義。 但是,需要注意是,對于$_FILES里面獲取變量,是直接來自http request請求。它跟普通獲取其它get,post變量一樣。 因此,別有用心的人,往往會(huì)自己模擬瀏覽器,給服務(wù)器發(fā)送一個(gè)特殊文件名。然后,讓存文件時(shí)候,能夠正常保存為自己格式。
前些年,”/0” 在字符串中,保存為文件,會(huì)自動(dòng)截?cái)嗪竺鎯?nèi)容。 如:$filename 構(gòu)造為:”a.php/0.jpg” ,我們想想,將會(huì)變成怎么樣?
$newfile = “upload/a.php/0.jpg” 因?yàn)椋瑢U(kuò)展名驗(yàn)證,最右邊”.”后面字符是jpg ,是允許圖片格式。 但是,我們一以該文件名,保存。 發(fā)現(xiàn)磁盤會(huì)在upload目錄下面生成a.php ,/0后面所有字符,被自動(dòng)截?cái)唷?br>
該漏洞,風(fēng)靡一時(shí)。當(dāng)時(shí)幾乎大多數(shù)上存網(wǎng)站都有漏洞。一時(shí),很多平臺關(guān)閉了上存。其實(shí),根本原因就在此。我們拿到文件名,自己作為最終生成文件名保存了。 好的方法,是自己隨機(jī)生成文件名+讀取擴(kuò)展名 。這樣可以組織輸入特殊字符,在進(jìn)行文件保存時(shí)候,被拋棄或截?cái)嗔恕?br>
php4時(shí)代這個(gè)漏洞可以利用,到php5時(shí)代,生成的變量文件名值中,會(huì)自動(dòng)過濾掉”/0” ,這樣無論用戶構(gòu)造怎么樣的特殊”/0”用戶名,都會(huì)被截?cái)唷?但是 ,目前這類漏洞,在ASP,jsp 等站點(diǎn)。還經(jīng)常有出現(xiàn)。老版本的php站點(diǎn)也會(huì)經(jīng)常出現(xiàn)。
好了,今天先到這里,后面還有2種其它常見方法,后面給出!歡迎交流!
php技術(shù):淺談web上存漏洞及原理分析、防范方法(文件名檢測漏洞),轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。
