我的一个小网站http://hitaow.sinaapp.com中有一段代码,下面是一段PHP图片上传验证的代码,有个黑客说有漏洞,帮我找下漏洞。找到给分。<?phpif (is_uploaded_file($_FILES['upfile']['tmp_name'])){$upfile=$_FILES["upfile"];$name = $upfile["name"];
$type = $upfile["type"];
$size = $upfile["size"];
$tmp_name = $upfile["tmp_name"];
$error = $upfile["error"];switch ($type) {
case 'image/jpg' : $ok=1;
break;
case 'image/jpeg' : $ok=1;
break;
case 'image/pjpeg' : $ok=1;
break;
case 'image/gif' : $ok=1;
break;
case 'image/png' : $ok=1;
break;
case 'image/x-png' : $ok=1;
break;
}
}
?>
<span class="STYLE5">
<?php
if($ok && $error=='0'){
move_uploaded_file($tmp_name,'../img/index/'.$name);
echo "<span style=\"color:red\">图片上传成功</span><br>";
}if(is_uploaded_file($_FILES['upfile']['tmp_name']) && $ok!=1){
echo "<span style=\"color:red\">图片上传失败,上传的图片应该为:jpg jpeg gif png格式!</span><br>";
}这段代码我也觉得有漏洞。怎么才能绕过这段验证呢。帮我找一下。
$type = $upfile["type"];
$size = $upfile["size"];
$tmp_name = $upfile["tmp_name"];
$error = $upfile["error"];switch ($type) {
case 'image/jpg' : $ok=1;
break;
case 'image/jpeg' : $ok=1;
break;
case 'image/pjpeg' : $ok=1;
break;
case 'image/gif' : $ok=1;
break;
case 'image/png' : $ok=1;
break;
case 'image/x-png' : $ok=1;
break;
}
}
?>
<span class="STYLE5">
<?php
if($ok && $error=='0'){
move_uploaded_file($tmp_name,'../img/index/'.$name);
echo "<span style=\"color:red\">图片上传成功</span><br>";
}if(is_uploaded_file($_FILES['upfile']['tmp_name']) && $ok!=1){
echo "<span style=\"color:red\">图片上传失败,上传的图片应该为:jpg jpeg gif png格式!</span><br>";
}这段代码我也觉得有漏洞。怎么才能绕过这段验证呢。帮我找一下。
02 $content = fread($handle, 2);
03 fclose($handle);
04
05 $info = unpack('c2chars', $content);
06
07 if (empty($info['chars1']) || empty($info['chars2'])) {
08 exit('Error!');
09 }
10
11 if ($info['chars1'] < 0) {
12 $info['chars1'] += 256;
13 }
14 if ($info['chars2'] < 0) {
15 $info['chars2'] += 256;
16 }
17
18 $code = $info['chars1'] . $info['chars2'];PHP中的pack&unpack函数很炫,有兴趣的可以看:Handling binary data in PHP with pack() and unpack()注:网上搜索的大多数相关的程序没有做256的相关操作,这是我通过试验数据自己意淫的TDD结果,不肯定是否一定正确,读者自己斟酌。通过switch判断$code变量,就可以对应到文件类型,常见的图片类型结果大致如下:GIF:7173
JPG:255216
PNG:13780当然也可以判断其他的文件类型,自己做做试验就知道数值大小了。但此方法也不是一定安全的,因为前两个字节的内容也是可以伪造的,所以最好还要限制一下文件的扩展名,以防意外的解析,比如说,你创建一个名为foobar.php的文件,内容如下:GIF89
<?php eval(...); ?>当你使用前两个字节去检测文件类型的时候,就会得出GIF:7173的结果,即便使用shell下的file命令去检测,一样会误认为是GIF图片:# file foobar.php
foobar.php: GIF image data 16188 x 26736由于扩展名是.php,那么此文件就被php引擎解析了,如此一来就给了黑客一个web shell,安全也就无从谈起了。所以说限制文件扩展名非常重要,切记!至于已经如何发现这类伪装,最简单的方法是在用shell命令过滤一遍:# strings foobar.php | grep -i "<?php"
<?php eval(...); ?>如果想彻底屏蔽此类危险,可以考虑使用gd,imagemagick,graphicsmagick等工具把用户上传的图片进行必要的编辑后再转存,这样就能抹去可能的嵌入代码。如果想更安全点,还应该把图片服务器独立出来,不装php,只解析静态文件。补充:如果仅仅是判断图片的话,还有一个更简单方法,那就是getimagesize,这个方法虽然从名字上看是用来取得图片大小的,但结果里包含了图片类型,另外,虽然这个方法在文档里被归纳在GD部分,但是即便没有安装GD,也是可用的,不过和前面一样,也要注意安全问题。