YII2框架学习 安全篇（五） 文件上传漏洞

最后一节，文件上传漏洞。最近几天搬家，偷了个懒几天没更了，今天继续。

先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。

常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后缀名。代码如下

<?php
if($_POST){
    $ext = pathinfo($_FILES["photo"]["name"], PATHINFO_EXTENSION);
    if(in_array($ext, ["png", "jpg", "gif"])){

        echo "类型检测成功";
        move_uploaded_file($_FILES["photo"]["tmp_name"], "./".$_FILES["photo"]["name"]);
    }

    //$_FILES["photo"]["type"]
}
?>

<form method="post" enctype="multipart/form-data">
    <input type="text" name="title" value="this is a title &#"/>
    <input type="file" name="photo"/>
    <input type="submit" value="提交"/>
</form>

不过这么蠢的办法，当然是有方法破解的。利用断点续传工具在文件上传过程中篡改文件名而不被发现。比如把photo.phpkk.jpg, =>  photo.php:kk.jpg，文件名就会变成photo.php。

yii框架并没有提供特别的文件上传漏洞的防御方法，我查阅资料给出几个方法：

1、文件上传的目录设置为不可执行

2、判断文件类型：强烈推荐白名单方式。此外，对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码。

3、使用随机数改写文件名和文件路径：一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击。

4、单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。