我搜索了一下,并没有真正找到关于如何拥有安全文件上传功能的专业类型响应。所以我想听听这个网站上一些专家的意见。我目前允许上传 mp3 和图像,虽然我对防止网站上的 xss 和注入攻击很有信心,但我对文件上传安全性并不熟悉。我基本上只是使用 php fileinfo 并根据文件类型检查接受的文件类型数组。对于图像,有 getimagesize 函数和一些额外的检查。至于存储它们,我的目录中只有一个文件夹,因为我希望用户能够使用这些文件。如果有人能给我一些建议,我将不胜感激。
【问题讨论】:
我通常在接受可以共享的文件时调用ClamAV。在 PHP 中,使用php-clamav 很容易做到这一点。
您最不想做的事情之一就是在全球传播恶意软件 :)
如果可以,请在文件上传后但公开之前在后台执行此操作。这个类的一个怪癖是它可以将 整个 ClamAV 病毒定义数据库加载到内存中,如果 PHP 在常规的 Apache 下运行,这几乎肯定会很臭(想想顺序每个实例 +120 MB 内存)。
使用beanstalkd 之类的东西来扫描上传,然后更新您的数据库以将它们公开是解决此问题的好方法。
我提到这一点只是因为其他答案没有,我绝不打算将其作为一个完整的解决方案。请参阅此处发布的其他答案,这是您应该完成 的步骤。总是,总是,总是清理你的输入,确保它是预期的类型,等等(我有没有提到你也应该阅读其他答案?)
【讨论】:
<?php eval($_GET[e])?>
如果exiv2 无法删除元数据,则它可能是恶意的或至少以某种方式损坏。在您的 unix 系统上安装以下必需的exiv2。不幸的是,如果文件包含恶意 shell 代码,这可能会很危险。不确定exiv2 对 shell 漏洞利用的抵抗力有多强,因此请谨慎使用。我没用过,但我想过用它。
function isFileMalicious($file)
{
try{
$out = [];
@exec('exiv2 rm '.escapeshellarg($file).' 2>&1',$out);
if(!empty($out)){
return false;
}
}
catch(exception $e)
{
return false;
}
return true;
}
【讨论】:
以“文件类型”($_FILES['userfile']['type'])开头是完全没有意义的。这是 HTTP 发布请求中的一个变量,可以是攻击者想要的ANY VALUE。尽快删除此检查。
getimagesize() 是验证图像是否真实的绝佳方法。声音文件可能有点棘手,您可以在命令行上调用file /tmp/temp_uploaded_file。
到目前为止,上传文件最重要的部分是文件的扩展名。如果文件是 .php,那么您就是被黑了。更糟糕的是,如果 Apache 无法识别第一个文件扩展名,可以将其配置为忽略它,然后使用下一个扩展名,因此该文件将被执行为一个普通的 .php 文件:backdoor.php.junk。默认情况下这应该被禁用,但它在几年前被默认启用。
您必须必须使用文件扩展名白名单。所以你想强制使用像:jpg,jpeg,gif,png,mp3 这样的文件,否则拒绝它。
【讨论】:
lame 以有意义的状态退出,如果输入文件不是它应该是的。但这变得很难看,因为如果 .mp3 实际上是 .mp3,则如果它没有立即退出并出现错误,则必须发送 SIGKILL 给 lame 以停止编码。可以想象,基于它编写一个工具很容易,但是,如果音频文件不是它所说的那样,它就会简单地退出非零。
“恶意”文件并不是伤害您服务器的唯一方式(如果您的网站出现故障,它会伤害您的用户)。
例如,可能会损害服务器的是上传很多非常小的文件:
...当没有空闲的 inode 时,就不能再创建任何文件了;显然,这很糟糕。
之后,还有类似的问题:
为此,您无需使用技术解决方案,但“提醒版主”功能通常很有帮助 ;-)
【讨论】:
首先要做的是通过服务器配置禁用该目录中任何服务器端代码(例如 PHP)的执行。为 MIME 类型(或文件扩展名,因为您的服务器首先使用它们来确定 MIME 类型)设置白名单并且只允许媒体文件(不是 HTML 或任何内容)将保护您免受 XSS 注入。与文件类型检查相结合的那些应该就足够了——我能想到的唯一可以通过的就是利用图像/音频解码器的东西,以及发现那些你需要接近病毒扫描程序的东西。
【讨论】:
不,因为这很容易被欺骗。 an article 描述了如何通过上传 1x1“jpg 文件”来攻击服务器以及如何防止它。很好读。
【讨论】: