代码审计——任意文件下载详解
【摘要】 代码审计——任意文件下载详解
01 漏洞描述
网站可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等。
02 审计要点
任意文件下载漏洞发生的根本原因是系统自带的查看或下载功能,用户可控制下载路径,且当服务器不做任何限制的时候,就可以完成对任意文件的读取/下载。
当判断代码中是否存在任意文件下载漏洞时,可从以下3点进行判断:
1、是否存在文件读取接口?Java中如read函数等。
2、待读取的文件名参数是否为用户可控?是否直接拼接http请求数据?或者调用存储在数据库中的数据?
3、用户输入的文件名是否经过了校验?是否预先设置好文件白名单?对输入的特殊字符是否存在敏感字符过滤?
03 漏洞特征
如果存在文件下载接口,且该接口接受用户输入的文件名作为将要下载的文件资源,且对文件资源名字没有进行路径和文件名字的校验,则存在该漏洞。
.Net
using System.IO;
class Example
{
void ExampleFun(string filename)//filename为用户的输入数据
{
//filename 可能包含“..”字符序列导致访问受限目录之外的文件
string path = Path.GetFullPath(filename);
DirectoryInfo info = new DirectoryInfo(path);
......
}
}
上述代码中,前端输入filename未进行任何校验及过滤,可造成任意文件下载。
PHP
<?php
$filename = $_GET['filename'];
readFile($filename);
?>
上述代码中,文件名用户可控,且未作任何校验和限制,导致存在任意文件下载漏洞。
04 漏洞案例
如上述代码所示,存在文件下载接口,且该接口接受用户输入的文件名作为将要下载的文件资源,且对文件资源名字没有进行路径和文件名字的校验,明确存在任意文件下载/读取漏洞。
漏洞验证示例如下:
http://127.0.0.1/resin-doc/viewfile/?file=index.jsp
05 修复方案
1、过滤.(点),使用户在url中不能回溯上级目录。
2、对下载路径进行过滤,如下载前对传入的参数进行过滤,并且对下载文件类型进行检查,是否是允许下载的类型。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)