解析web文件操作常见安全漏洞(目录、文件名检测漏洞)

首页

后端开发

php教程

解析web文件操作常见安全漏洞(目录、文件名检测漏洞)_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:02 PM

web代码做安全漏洞常见开发我们操作文件文件名检测漏洞目录解析

做web开发，我们经常会做代码走查，很多时候，我们都会抽查一些核心功能，或者常会出现漏洞的逻辑。随着技术团队的壮大，组员技术日益成熟。常见傻瓜型SQL注入漏洞、以及XSS漏洞。会越来越少，但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现。这些漏洞更多来自开发人员，对一个函数、常见模块功能设计不足，遗留下的问题。以前我们能够完成一些功能模块，现在要求是要安全正确方法完成模块才行。接下来，我会分享一些常见功能模块，由于设计原因导致漏洞出现。下面，我们先看下，读取文件型功能漏洞。
我们先看下下面一段代码，通过用户输入不同目录，包含不同文件

复制代码代码如下:

///读取模块名称
$mod = isset($_GET['m'])?trim($_GET['m']):'index';
///过滤目录名称不让跳转到上级目录
$mod = str_replace("..",".",$mod);
///得到文件
$file = "/home/www/blog/".$mod.".php";
///包含文件
@include($file);

这段代码，可能在很多朋友做的程序里面有遇到过，对于新人来说，也是很容易出现这样问题，记得走查遇到该代码时候，我问到，你这个代码安全方面能做到那些？
答：1. 对”..”目录有做替换，因此用户传入模块名里面有有..目录都会被替换掉了。
2.构造拼接file名称，有前面目录限制，有后面扩展名限制，包含文件就会限制在该目录了
这段代码真的做到了目录安全检测吗？
我们来测试下，如果$mod传入这个值将会是什么样的结果。

$mod 通过构造输?mod=…%2F…%2F…%2F…%2Fetc%2Fpasswd%00 ，我们看结果将是：

居然include(“/etc/passwd”)文件了。
怎么逃脱了我参数限制呢？
首先：做参数过滤类型去限制用户输入本来就不是一个好方法，一般规则是：能够做检测的，不要做替换只要是检测不通过的，直接pass 掉！这是我们的一个原则。过滤失败情况，举不胜举，我们来看看，实际过程。
1、输入”…/…/…/” 通过把”..” 替换为”.”后
2、结果是”../../../” 就变成了这个了
有朋友就会说，如果我直接替换为空格是不是就好了？在这个里面确实可以替换掉。但是不代表以后你都替换为空格就好了。再举例子下。如：有人将字符串里面javascript替换掉。代码如下：

复制代码代码如下:

……
$msg = str_replace(“javascript”,””,$msg);

看似不会出现了javascript了，但是，如果输入:jjavascriptavascript 替换，会替换掉中间一个变为空后。前面的”j” 跟后面的会组成一个新的javascript了。

其次：我们看看，怎么逃脱了，后面的.php 限制呢。用户输入的参数有：”etc/passwd\0” ，\0字符非常特殊，一段连接后，文件名称变成了”……etc/passwd\0.php”，你打印出该变量时候，还是正确的。但是，一段放入到文件读写操作方法里面，\0后面会自动截断。操作系统，只会读取……etc/passwd文件了。 “\0”会出现在所有文件系统读写文件变量中。都会同样处理。这根c语言\0作为字符串完整标记有关系。
通过上面分析，大家发现做文件类型操作时候，一不注意将产生大的漏洞。而且该漏洞就可能引发一系列安全问题。

该怎么做文件类操作呢？
到这里，估计有人就会思考这个，做文件读写操作时候，如果路径里面有变量时候，我该怎么样做呢？有人会说，替换可以吗？ “可以”，但是这个方法替换不严格，将会出现很多问题。而且，对于初写朋友，也很难杜绝。做正确的事情，选择了正确的方法，会从本身杜绝问题出现可能了。这里，我建议：对于变量做白名单限制。

1.什么是白名单限制

复制代码代码如下:

举例来说：
$mod = isset($_GET['m'])?trim($_GET['m']):'index'; ///读取模块名称后
mod变量值范围如果是枚举类型那么：
if(!in_array($mod,array(‘user','index','add','edit'))) exit(‘err!!!');
完全限定了$mod，只能在这个数组中，够狠！！！！

2.怎么做白名单限制
通过刚才例子，我们知道如果是枚举类型，直接将值放到list中即可，但是，有些时候，这样不够方面。我们还有另外一个白名单限制方法。就是限制字符范围

复制代码代码如下:

举例来说：
$mod = isset($_GET['m'])?trim($_GET['m']):'index'; ///读取模块名称后
我限制知道$mod是个目录名称，对于一般站点来说，就是字母加数字下划线之类。
if(!preg_match(“/^\w+$/”,$mod)) exit(‘err!!!');
字符只能是：[A-Za-z0-9_] 这些了。够狠！！！

总结：是不是发现，白名单限制方法，做起来其实很简单，你知道那个地方要什么，就对输入检测必须是那些。而且，检测自己已知的，比替换那些未知的字符，是不是简单多了。好了，先到这里，正确的解决问题方法，会让文件简单，而且更安全！！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP行动：现实世界中的示例和应用程序Apr 14, 2025 am 12:19 AM

PHP在电子商务、内容管理系统和API开发中广泛应用。1)电子商务：用于购物车功能和支付处理。2)内容管理系统：用于动态内容生成和用户管理。3)API开发：用于RESTfulAPI开发和API安全性。通过性能优化和最佳实践，PHP应用的效率和可维护性得以提升。

PHP：轻松创建交互式Web内容Apr 14, 2025 am 12:15 AM

PHP可以轻松创建互动网页内容。1)通过嵌入HTML动态生成内容，根据用户输入或数据库数据实时展示。2)处理表单提交并生成动态输出，确保使用htmlspecialchars防XSS。3)结合MySQL创建用户注册系统，使用password_hash和预处理语句增强安全性。掌握这些技巧将提升Web开发效率。

PHP和Python：比较两种流行的编程语言Apr 14, 2025 am 12:13 AM

PHP和Python各有优势，选择依据项目需求。1.PHP适合web开发，尤其快速开发和维护网站。2.Python适用于数据科学、机器学习和人工智能，语法简洁，适合初学者。

PHP的持久相关性：它还活着吗？Apr 14, 2025 am 12:12 AM

PHP仍然具有活力，其在现代编程领域中依然占据重要地位。1)PHP的简单易学和强大社区支持使其在Web开发中广泛应用；2)其灵活性和稳定性使其在处理Web表单、数据库操作和文件处理等方面表现出色；3)PHP不断进化和优化，适用于初学者和经验丰富的开发者。

PHP的当前状态：查看网络开发趋势Apr 13, 2025 am 12:20 AM

PHP在现代Web开发中仍然重要，尤其在内容管理和电子商务平台。1)PHP拥有丰富的生态系统和强大框架支持，如Laravel和Symfony。2)性能优化可通过OPcache和Nginx实现。3)PHP8.0引入JIT编译器，提升性能。4)云原生应用通过Docker和Kubernetes部署，提高灵活性和可扩展性。

PHP与其他语言：比较Apr 13, 2025 am 12:19 AM

PHP适合web开发，特别是在快速开发和处理动态内容方面表现出色，但不擅长数据科学和企业级应用。与Python相比，PHP在web开发中更具优势，但在数据科学领域不如Python；与Java相比，PHP在企业级应用中表现较差，但在web开发中更灵活；与JavaScript相比，PHP在后端开发中更简洁，但在前端开发中不如JavaScript。

PHP与Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有优势，适合不同场景。1.PHP适用于web开发，提供内置web服务器和丰富函数库。2.Python适合数据科学和机器学习，语法简洁且有强大标准库。选择时应根据项目需求决定。

PHP：网络开发的关键语言Apr 13, 2025 am 12:08 AM

PHP是一种广泛应用于服务器端的脚本语言，特别适合web开发。1.PHP可以嵌入HTML，处理HTTP请求和响应，支持多种数据库。2.PHP用于生成动态网页内容，处理表单数据，访问数据库等，具有强大的社区支持和开源资源。3.PHP是解释型语言，执行过程包括词法分析、语法分析、编译和执行。4.PHP可以与MySQL结合用于用户注册系统等高级应用。5.调试PHP时，可使用error_reporting()和var_dump()等函数。6.优化PHP代码可通过缓存机制、优化数据库查询和使用内置函数。7

See all articles