安全漏洞问题5:上传任意文件
1.1. 漏洞描述
上传任意文件漏洞是指用户可以上传所有文件,程序没有检测上传文件大小、类型是否是符合期望,或仅仅在客户端对上传文件大小、上传文件类型进行限制,未在服务器端进行验证。恶意用户可以利用例如上传一些恶意的程序,比如图片木马。
1.2. 漏洞危害
如果上传文件脚本未对用户所上传文件进行任何限制,或者上传文件检测可以被绕过,则可能会对服务器造成很大危害。恶意用户可以通过上传木马文件,获取目标服务器的控制权限。
1.3. 解决方案
针对上传任意文件漏洞, 应采取如下措施进行防范:
对上传文件类型进行检查
仅允许上传特定的文件类型,该检查不能依据HTTP HEAD信息,可以直接检查上传文件的扩展名,如下示例:
//代码示例:限制上传文件为XLS
String xlsPath = props.getProperty("xls");
bis = new BufferedInputStream(file.getInputStream());
File upload = new File(xlsPath + "/" + fileName);
if ("".equals(fileName)) {
ActionMessages messages = new ActionMessages();
messages.add("file", new ActionMessage("文件名不能为空!",false));
saveErrors(request, messages);
return mapping.findForward("fetchxls");
}
String[] fArray = fileName.split("\\.");
if (fArray.length == 1) {
ActionMessages messages = new ActionMessages();
messages.add("file", new ActionMessage("文件格式无效!",false));
saveErrors(request, messages);
return mapping.findForward("fetchxls");
}
if (!"xls".equalsIgnoreCase(fArray[fArray.count()-1])) {
ActionMessages messages = new ActionMessages();
messages.add("file", new ActionMessage("文件格式无效!",false));
saveErrors(request, messages);
return mapping.findForward("fetchxls");
}
if (file.getFileSize() == 0) {
ActionMessages messages = new ActionMessages();
messages.add("file", new ActionMessage("文件长度为0,上传失败!",false));
saveErrors(request, messages);
return mapping.findForward("fetchxls");
}
bos = new BufferedOutputStream(new FileOutputStream(upload));
int available = bis.available(); 限制上传文件的访问权限
在服务器利用系统权限限制上传文件和目录的权限,拒绝执行权限
将上传目录从WEB空间移出,保证用户无法直接从URL访问到上传文件
