文 | 安恒信息
今天来聊聊,Web攻防之文件上传漏洞防护。
有客户网站经常碰到有人恶意传小马、放大马——利用文件上传漏洞被攻击者利用,上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,那这个脚本文件就是我们所说的小马大马。
通常小马的功能一般都比较单一,作用一般是向服务器中写入文件数据。因为其功能单一的特性,隐蔽性通常都比较高,有些网站对上传文件大小做了限制,小马因为占用空间也小也能绕过这些限制。
01 应用场景
Web应用通常都会有文件上传的功能,日常我们上网过程中就经常遇到这种场景,比如注册处上传自己的头像,个人信息处上传照片,商品评价处上传商品照片。
此类场景还有非常多,只要允许上传文件的地方就有可能存在文件上传漏洞!
02 漏洞危害
(1)网站被控制,对文件增删改查,执行命令,链接数据库;
(2)利用exp提权,导致服务器沦陷;
(3)同服务器的其他网站沦陷。
03 漏洞利用
那么攻击者如何利用该漏洞呢?可将文件上传漏洞利用分为三步:
步骤一:上传伪装的可执行文件
小马:对应网站开发语言编写的动态脚本,体积小、功能少,一般用来上传大马(用来绕过相关限制)。
大马:对应网站开发语言编写的动态脚本,体积大、功能多(执行命令、上传下载文件)可调用系统关键函数,隐蔽性不好。
一句话木马:除了上述小马大马以外,还有隐蔽性更强的“一句话木马”。其对应网站开发语言编写的动态脚本,代码只有一行,场合webshell工具结合使用发挥更强威力。
步骤二:确认文件保存路径
确认上传文件路径,保证能访问我们上传的文件,通过中国菜刀、中国蚁剑或者冰蝎等能够连接起来。
步骤三:执行攻击操作
确认上传目录有可执行权限,保障我们连接到的恶意代码能够在该目录下能够被解析执行执行。
04 传统文件上传漏洞防护手段
传统的文件上传漏洞防护主要通过以下几个方面进行防护:
• 限制文件上传的类型以及大小
• 上传文件保存的的文件和目录名由系统定义
• 将上传目录直接设置为不可执行
但是通过分析文件上传漏洞传统防护手段我们发现,传统的漏洞防护只针对在服务器上面做相关防护,对文件的目录保护以及文件绕过的检测手段稍显不足,容易被攻击者轻松绕过,那么是否有更好的手段能够更好的防护我们现有的网络呢?
05 文件上传漏洞防护升级
安恒信息新一代智能WAF斩获Frost&Sullivan 2019年大中华区(中国大陆+港澳台)Web应用防火墙整体市场份额排名第一的殊荣!(点击详情)。在近期大规模的攻防对抗时期,应用广泛的Web攻击工具冰蝎3.0版本发布,其最重要的变化就是“全程加密传输,无明文交互”,这给基于签名特征库匹配的WAF带来了新的挑战,新一轮的特征库紧急升级又开始了。
而安恒信息新一代智能WAF语义分析引擎不仅支持基于OGNL的语义分析,同样支持对JSP、PHP、ASP的文件识别检测,可有效阻断异常文件的上传,检出率大大提升,效果明显,因此无须升级即可获得针对冰蝎3.0的免疫防护能力!
语义分析引擎通过对上传的文件分析确认其合法性,攻击者在利用该漏洞进行攻击时,通常通过修改文件属性来绕过常规文件检测上传恶意文件(小马、大马、一句话木马等),只要上传文件所在的目录有可执行权限,且文件校验不严谨的情况下,就能执行上传的恶意文件从而获取整个服务器的权限。
因此在检测文件是否是异常文件时,语义分析引擎通过多种技术对上传的文件进行检测分析,保证用户正常文件的上传同时阻止异常文件的上传。
来源:freebuf.com 2020-11-20 10:01:55 by: 安恒风暴中心
请登录后发表评论
注册