接着上两篇文章的相关内容,今天主要与大家分享关于Web安全性测试系列的文件上传漏洞的相关知识点分享。
上传文件的功能我们在实施功能或者自动化测试时都有用过,不同的文件类型受文件类型或者大小的限制需要对文件类型进行约束。
下面我们通过一个案例来与大家分享文件上传的漏洞,看文件上传漏洞的危害有多大。
一、打开一个项目存在文件上传功能的表单界面。
二、打开相关有文件上传功能的业务模块进行操作。
例如:缺陷管理工具中就存在附件等相关文件上传模块的功能点。
平时我们在提交缺陷时,可以将缺陷图片的文件等相关附件进行上传到服务器中去,缺陷管理工具提供了这些这样的功能操作项。
我们首先编写一个缺陷,上传缺陷的图,提交缺陷成功上传。
如果我们不知道服务器允许我们上传什么类型的文件内容时,
我们现在来做一个实验,上传一个java文件的时候,意味着服务器就在执行我的java文件的代码,上传文件一定存在文件的
路径,打开这个文件路径就能浏览文件的内容。
如果我在java文件内部写一些代码让系统去操作,打开文件进行浏览,我们就发了解服务器文件中的所有信息,服务器就可以被我们控制。
接下来我们将java文件的代码进行修改,让文件能够允许用户进行信息的输入,让文件java文件通过URL的GET方法能够帮助我们执行系统命令,如果我们获取的是一个post的方法的命令,我们同样将方法进行修改,再将文件上传到服务器中去。
这时候系统会报名,我们将URL地址进行修改,在参数后面添加一个cmd的运行参数命令进行操作服务器,这时候可以对服务器的文件内容进行操作,能够获取到当前java文件代码的目录所在位置以及目录中的相关文件类型,从而达到攻击系统的目的。
用户可以通过获取到的java文件代码来远程登录操作服务器,从而达到文件上传漏洞攻击的目的,分析服务器是否有对用户的操作内容进行限制,达到模拟攻击文件上传的安全性漏洞测试。
分析原因:优先我们打开服务器的用户管理功能,查看当前系统的用户个数是3个,现在通过java文件代码调用一个命令向服务器用户管理中添加一个用户与密码,再次打开服务器的用户管理界面,发现服务器新增了一个用户。
当我们完成新建用户的操作后,将用户进行删除,不要让对方发现我们攻击了对方的服务器。
除了可以对服务器进行新增用户,我们还可以对服务器中的文件进行增、删、改、查来操作系统内容,通过这种方式就能对系统的主页进行非法操作,一般的主页文件名称都是以文件名.index.html结尾。
当然我们也可以对文件插入木马来达到攻击服务器的目的,这其实就是文件上传漏洞的安全性bug导致服务器被用户攻击。
如果程序员在编写代码的过程中无意中存放了一个木马,项目组成员并没有对代码进行严格的评审与审查,系统就会存在安全性漏洞,这其实就是安全性测试文件上传的漏洞。
如果避免这些安全性问题呢?
一、对文件上传的类型进行过滤
第一种方法:通过后缀名进行过滤,这种方法简单但不是安全,最容易出问题的一种方式。
文件后缀名其实只是一种标识,例如:test.txt,kitty.mp3,test.bak.
用户如果仅仅依靠文件后缀名来判断文件的类型,这是存在安全隐患的,因为用户可以对文件后缀名进行修改。
第二种方法:通过二进制的方法来判断文件的类型
例如:图片、文件名.rar等相关文件、文件名.pdf,文件名.docx等都是二进制文件,可以通过文件的头和尾来获得文件的类型,这些方法的实施相对难度较大些,但同样可以达到安全性bug漏洞的测试目的。
第三种方法可以通过修改服务器的核心参数禁止脚本引擎运行服务器的系统命令,用户在客户端URL地址栏无法通过参数命令的方式来攻击系统,这样也能保证系统的安全性。
综上所述:通过以上内容的详细讲解,相信大家对文件上传漏洞的整个过程有了一个清晰的了解,同样希望大家在实施安全性测试的过程中能够借鉴或者引用以上方法来测试系统的漏洞,确保系统的安全性。