Sécurité PHP - Manipulation des noms de fichiers

Manipulation du nom de fichier

L'inclusion dynamique est utilisée dans de nombreuses situations où une partie du nom du répertoire ou du nom du fichier est enregistrée dans une variable. Par exemple, vous pouvez mettre en cache certaines de vos pages dynamiques pour réduire la charge sur votre serveur de base de données.

 <?php
 
  include "/cache/{$_GET[&#39;username&#39;]}.html";
 
  ?>

Pour rendre cette vulnérabilité plus évidente, $_GET est utilisé dans l'exemple. Cette vulnérabilité existe également si vous utilisez des données contaminées. L'utilisation de $_GET['username'] est un exemple extrême grâce auquel le problème peut être vu plus clairement.

Bien que le flux ci-dessus présente des avantages, il offre également à un attaquant la possibilité de choisir librement de mettre les pages en cache. Par exemple, un utilisateur peut facilement afficher les fichiers de cache d'autres utilisateurs en modifiant la valeur du nom d'utilisateur dans l'URL. En fait, un attaquant peut afficher tous les fichiers portant l'extension .html dans le répertoire /cache en remplaçant simplement la valeur du nom d'utilisateur par le nom de fichier correspondant (sans l'extension).

http://www.php.cn/

Bien que le programme limite les répertoires et les noms de fichiers que les attaquants peuvent manipuler, la modification des noms de fichiers n'est pas la seule méthode disponible. Un attaquant peut accéder de manière créative au système de fichiers et afficher les fichiers .html dans d'autres répertoires pour découvrir des informations sensibles. En effet, vous pouvez utiliser le répertoire parent dans la chaîne pour effectuer une extension de répertoire :

http://www.php.cn/

Les résultats d'exécution de l'URL ci-dessus sont les suivants :

 <?php
 
  include "/cache/../admin/users.html";
 
  ?>

À cette fois,... Cela signifie le répertoire parent de /cache, qui est le répertoire racine. L'exemple ci-dessus équivaut donc à :

<?php
 
  include "/admin/users.html";
 
  ?>

Étant donné que tous les fichiers se trouveront dans le répertoire racine du système de fichiers, ce processus permet à un attaquant d'accéder à tous les fichiers .html de votre serveur.

Sur certaines plateformes, l'attaquant peut également utiliser un NULL pour terminer la chaîne, par exemple :

http://www.php.cn/

Cela contourne avec succès la restriction de l'extension de fichier .html.

Bien entendu, il est impossible de deviner aveuglément toutes les méthodes d'attaque malveillantes des attaquants. Quel que soit le nombre de contrôles que vous ajoutez au fichier, vous ne pouvez pas éliminer le risque. Il est important de ne jamais utiliser de données corrompues lors d'une inclusion dynamique. Les moyens d’attaque ne sont pas statiques, mais les vulnérabilités ne changeront pas. Cette vulnérabilité peut être corrigée en filtrant simplement les données (voir chapitre 1) :

  <?php
 
  $clean = array();
 
  /* $_GET[&#39;filename&#39;] is filtered and stored in
$clean[&#39;filename&#39;]. */
 
  include "/path/to/{$clean[&#39;filename&#39;]}";
 
  ?>

Si vous confirmez qu'il n'y a que la partie nom de fichier dans le paramètre mais aucune information de chemin, une autre astuce efficace consiste à utiliser basename( ) pour filtrer les données :

<?php
 
  $clean = array();
 
  if (basename($_GET[&#39;filename&#39;] ==
$_GET[&#39;filename&#39;])
  {
    $clean[&#39;filename&#39;] = $_GET[&#39;filename&#39;];
  }
 
  include "/path/to/{$clean[&#39;filename&#39;]}";
 
  ?>

Si vous autorisez les informations sur le chemin mais souhaitez les simplifier avant la détection, vous pouvez utiliser la fonction realpath() :

<?php
 
  $filename =
realpath("/path/to/{$_GET[&#39;filename&#39;]}");
 
  ?>

Le résultat ( $filename) obtenu via le traitement du programme ci-dessus peut être utilisé pour confirmer s'il se trouve dans le répertoire /path/to :

<?php
 
  $pathinfo = pathinfo($filename);
 
  if ($pathinfo[&#39;dirname&#39;] == &#39;/path/to&#39;)
  {
    /* $filename is within /path/to */.
  }
 
  ?>

Si la détection échoue, vous devez enregistrer la demande dans le journal d'attaque pour une enquête ultérieure. Ceci est particulièrement important lorsque vous utilisez ce processus comme mesure de défense en profondeur, car vous souhaitez déterminer pourquoi d'autres mesures de sécurité échouent.

Ce qui précède est le contenu de la manipulation du nom du fichier de sécurité PHP. Pour plus de contenu connexe, veuillez prêter attention au site Web PHP chinois (www. php.cn) !