php - 上传的安全威胁

Question

我允许用户将文件上传到我的服务器。我面临哪些可能的安全威胁以及如何消除它们？

假设我允许用户从他们的系统或网络上传图像到我的服务器。现在要检查这些图像的大小，我必须将它们存储在我的 /tmp 文件夹中。这不是有风险吗？我怎样才能将风险降到最低？

另外假设我正在使用 wget 从用户在我的表单中上传的链接下载图像。我首先必须将这些文件保存在我的服务器中以检查它们是否真的是图像。另外，如果一个恶作剧者给了我一个 URL，我最终下载了一个充满恶意软件的网站怎么办？

Answer 1

首先，要意识到上传文件意味着用户向您提供了各种格式的大量数据，并且用户可以完全控制这些数据。这甚至是普通表单文本字段的一个问题，文件上传是相同的，而且更多。第一条规则是:不要相信任何一个。

您通过文件上传从用户那里得到什么:

• 文件数据
• 文件名
• MIME 类型

这是文件上传的三个主要组成部分，没有一个是可信的。

1. 不要信任 $_FILES['file']['type'] 中的 MIME 类型。这是一个完全任意的、用户提供的值。

2. 不要将文件名用于任何重要的事情。这是一个完全任意的、用户提供的值。一般来说，您不能相信文件扩展名或名称。不要使用 'dir/' 之类的东西将文件保存到服务器的硬盘上。 $_FILES['文件']['名称']。如果名称是 '../../../passwd'，您将覆盖其他目录中的文件。始终自己生成一个随机名称以将文件另存为。如果需要，您可以将原始文件名作为元数据存储在数据库中。

3. 切勿让任何人或任何事物随意访问该文件。例如，如果攻击者将 malicious.php 文件上传到您的服务器，而您将其存储在站点的 webroot 目录中，则用户只需转到 example.com/uploads/malicious.php 执行该文件并在您的服务器上运行任意 PHP 代码。

   • 永远不要将任意上传的文件公开存储在任何地方，始终将它们存储在只有您的应用程序可以访问它们的地方。

   • 只允许特定进程访问文件。如果它应该是一个图像文件，只允许读取图像并调整它们大小的脚本直接访问该文件。如果此脚本在读取文件时出现问题，则它可能不是图像文件，标记它和/或丢弃它。其他文件类型也是如此。如果该文件应该可供其他用户下载，请创建一个脚本来提供该文件以供下载，并且不对其执行任何其他操作。

   • 如果您不知道正在处理的文件类型，请自行检测文件的 MIME 类型和/或尝试让特定进程打开文件(例如，让图像调整大小进程尝试调整假定图像的大小)。这里也要小心，如果该过程中存在漏洞，恶意制作的文件可能会利用它，从而导致安全漏洞(此类攻击最常见的例子是 Adob​​e 的 PDF 阅读器)。

---

解决您的具体问题:

[T]o check even the size of these images I have to store them in my /tmp folder. Isn't it risky?

没有。如果您不对该数据执行任何操作，则仅将数据存储在临时文件夹中的文件中是没有风险的。数据就是数据，与其内容无关。仅当您尝试执行数据或程序正在解析数据时才会有风险，如果程序包含解析缺陷，可能会被恶意数据诱使做出意想不到的事情。

当然，在磁盘上存在任何类型的恶意数据比在任何地方都没有恶意数据的风险更大。你永远不知道谁会来用它做点什么。因此，您应该验证所有上传的数据，如果未通过验证，请尽快将其丢弃。

What if a prankster gives me a url and I end up downloading an entire website full of malware?

具体下载什么由您决定。一个 URL 最多会产生一个数据 block 。如果您正在解析该数据并根据该初始 blob 下载更多 URL 的内容，那就是您的问题。不要这样做。但即使你这样做了，那么你也会有一个装满东西的临时目录。再说一次，如果您没有对这些东西做任何危险的事情，这并不危险。