我想知道当网站的最终用户可以上传文件到服务器时会出现什么安全问题。
例如,如果我的网站允许用户上传个人头像,但其中一个用户上传了有害内容,会发生什么?我应该设置什么样的安全措施来防止此类攻击?在这里我谈论的是图像,但是如果用户可以将任何东西上传到类似文件保险库的应用程序中呢?
这更像是一个普遍性的问题而不是关于特定情况的问题,所以在这种情况下,有哪些最佳实践?你通常会怎么做?
我推测:上传时进行类型验证,为上传的文件设置不同的权限...还有什么?
编辑:为了澄清上下文,我在考虑一种Web应用程序,用户可以上传任何类型的文件,然后在浏览器中显示它。该文件将存储在服务器上。用户是使用该网站的任何人,因此没有信任关系。
我正在寻找适用于不同语言/框架和生产环境的一般答案。
你的第一道防线将是限制上传文件的大小,并终止任何大于该大小的传输。
文件扩展名验证可能是一个很好的第二道防线。类型验证可以稍后进行... 只要您不依赖于(用户提供的)mime类型进行验证。
为什么需要文件扩展名验证?因为这是大多数Web服务器用来识别可执行文件的方式。如果您的可执行文件没有锁定到特定目录(大多数情况下是这样),具有某些扩展名的文件将在站点文档根目录下的任何地方执行。
使用白名单对想要接受的文件类型进行最佳的文件扩展名检查。
一旦验证了文件扩展名,您可以通过检查魔术字节或使用Unix文件命令来验证所述文件是否是其扩展名声明的类型。
我相信还有其他问题我没有提到,但希望这有所帮助。
编辑
如果您允许用户上传脚本和可执行文件,您应该确保通过该表单上传的任何内容都不会以除
application/octet-stream之外的其他形式返回。当处理潜在危险的上传时,不要尝试混合Content-Type。如果您要告诉用户他们必须担心自己的安全(这实际上是您接受脚本或可执行文件时所做的),那么所有内容都应作为application/octet-stream提供,以便浏览器不尝试呈现它。您还应该设置Content-Disposition头。如果您想处理可执行文件,则还应该在管道中涉及病毒扫描程序。例如,ClamAV是可编写脚本且开源的。大小验证也很有用,不想让有人故意上传一个100GB的假图片来恶意占用你的空间吧 :)
此外,你可能需要考虑一些措施来防止人们仅仅为了方便地托管图片而滥用你的带宽(我最担心的是非法内容的托管)。大多数人会使用imageshack来进行临时图片托管。
内容大小 限制某些文件类型(.jpeg,.png等,只允许白名单文件类型) 文件篡改(例如:支持外语的网站,允许某些编码。黑客可能利用此功能添加任何编码的脚本/恶意代码并附加到原始文件中,然后尝试上传)
有更多的上下文,就更容易知道漏洞可能存在的位置。
如果数据可以存储在数据库中(听起来似乎不会),那么您应该防范SQL注入攻击。
如果数据可以在浏览器中显示(听起来似乎是这样),那么您可能需要防范HTML/CSS注入攻击。
如果您在服务器上使用脚本语言(例如PHP),那么您可能需要防范针对这些特定语言的注入攻击。对于编译后的服务器代码(或者糟糕的脚本实现),存在缓冲区溢出攻击的风险。
不要忽视用户数据安全性:您的用户能否信任您防止其数据被泄露?
编辑:如果您真的想要覆盖所有基础知识,请考虑JPEG和WMF安全漏洞的风险。如果恶意用户可以从一个系统上传文件,然后从另一个系统查看文件--或者说服另一个用户查看文件--那么这些漏洞可能会被利用。