我用extjs做项目时用到了上传，属性 allowAccType: "文件类型"是白名单， 有没有对应的属性是控制黑名单?

没有，从安全角度讲，上传文件应该要用白名单而不是黑名单。根据你业务需要控制合法的文件类型才能上传能有效防止黑客入侵，如果需要用户上传各种文件那就指引用户把文件打包成zip，rar等压缩文件后再上传，这样可以解决安全问题同时兼容更多文件类型。

文件上传漏洞有哪些挖掘思路?

文件上传漏洞作为获取服务器权限最快的方式，虽然相关资料很多，但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述，然后补充一些除了上传webshell的其他非常规挖掘姿势，包括XSS、重定向、Dos、CSRF等等。

1、基础知识：

要深入了解文件上传，必须了解上传属性、常见文件的结构、图形处理函数等内容。

1） 报文特点：

观察文件上传报文的特点：

Header中Content-Type特征有二：

1.multipart/form-data（form表单的enctype属性，规定为二进制数据）

2.boundary字符串（作用为分隔符，以区分POST数据）

POST内容特征有五：

1.Content-Disposition：form-data

2. name：input表单名

3.filename：文件名

4.Content-Type：定义文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件；

5.boundary：Content-Type的值前面加了两个---

2） 常见校验规则

现存常用的上传校验规则无非下面几类：

1.客户端javascript校验（后缀名）

2.文件头content-type字段校验（image/gif）：附带参数

4.后缀名黑/白名单校验：扩展名

5.文件内容头校验：GIF89a

6.文件内容校验：文件信息，二次渲染

7.自定义正则校验

3）一个澄清

文件上传和文件解析是两个过程，即使我们上传的是php文件，但解析为图片，访问php文件会显示“图片无法显示”；或者我们上传的是jpg文件，但里面混有shell脚本，若被解析为php文件也会执行；又或者上传处没法绕过检测，只能上传jpg文件，但在其他功能处存在文件包含等功能，仍可执行成功。

还是回到安全的本质，上传是“输入”，那文件解析就是“输出”，任何漏洞挖掘都需要结合输入+输出。

2、绕过技巧：

这里汇总一些实战中较常用的绕过技巧：

1）后缀名黑名单

以下替换后缀也可以解析为shell：

php：.phtml,.phpt,.php3,.php3p

asp：.aspx，a *** x，ashx，web.config

perl:.pl,.pm,.cgi,.lib

jsp:.jspx,.jsw,.jsv,.jspf

Coldfusion:.cfm,.cfml,.cfc,.dbm

另外可以配合操作系统的文件命名规则：

.php.,.php空格，.php:1.jpg,.php::$DATA等

这些后缀的文件会被windows系统自动去掉不符合规则符号后面的内容，从而只留下.php。

2）后缀名白名单

除了结合各种服务器解析特性，较常用的是Null Byte Injection空字节注入，插入空字节值的原因是某些应用程序服务器脚本语言使用c/c++库来检查文件名和内容。在C/C ++中，一行以/00结尾或称为NullByte。因此，只要解释器在字符串的末尾看到一个空字节，就会停止读取，认为它已经到达字符串的末尾。

如，我们将要上传的Happy.jpg的名称更改为Happy.phpA.jpg，然后上传文件，在Burp中捕获请求，切换到Hex视图。在字符串视图中找到文件名。查看相应的Hex表，并将41（'A'）替换为00（为空字节）。结果字符串变为Happy.php（空）.jpeg。由于php解释器在内部使用C语言库，它将停止读取Happy.php后的文件名，文件将保存为Happy.php。

另一种绕过白名单的 *** 是使用双后缀：shell.php.jpg。

如何设计出一个安全的文件上传功能

这两天我们的老朋友PDP在BlackHat 08上做了一个关于GIFAR的演讲。和往常一样，PDP的东西基本上都很猥琐，这个也是。主题是关于是如何把GIF或者 JPG文件和JAR文件捆绑在一起，然后欺骗服务器以为是GIF或JPG文件，结果却是在客户端的JVM中执行JAR的例子。

他还举了些欺骗的例子，比如在office2007中，doc文件实际上就是zip格式了，里面都是些xml，那么他把jar文件打包在zip文件里，再把后缀改成doc，来达到欺骗的目的。

在这里是客户端的问题，我想到的则是其他的问题，比如安全上传。

根据以往的经验看来，我们可能会设计如下文件上传的安全规则：

1. 文件上传的目录设置为不可执行

2. 判断文件类型

3. 单独设置文件服务器的域名

4. 改写文件名，文件路径不可预测

之一点规则是显而易见的，是为了减小执行动态语言脚本的风险。如果被成功上传了一个webshell，但是不能执行，还是能够起到深度防御的作用。

第二点，在判断文件类型的时候，我们一般要求使用白名单，而不是黑名单，因为黑名单可能会列不全，还可能会造成一些bypass的风险。

比如以前老版本的 FCKEditor就出过这种问题，只做了黑名单的控制，最后被bypass。

而apache有个特性，是解析之一个“ . ”后的文件后缀作为文件类型，比如 fvck.php.rar.rar.rar 会被apache当作 fvck.php解析。 我最近看了下php的手册，在安装文档里，针对这个问题，专门有一个指导：

15. Tell Apache to parse certain extensions as PHP. For example, lets have

Apache parse .php files as PHP. Instead of only using the Apache AddType

directive, we want to avoid potentially dangerous uploads and created

files such as exploit.php.jpg from being executed as PHP. Using this

example, you could have any extension(s) parse as PHP by simply adding

them. Well add .phtml to demonstrate.

FilesMatch .php$

SetHandler application/x-httpd-php

/FilesMatch

IIS6也有这种类似的特性，即在文件夹名字为 fvck.asp 时(fvck可替换为任意值)，该文件夹下任何文件都会被当作asp来执行，

至今似乎也未见到微软有把这个特性当作bug来fix的迹象。

所以如果不熟悉这些webserver的特性，你可能会觉得漏洞来的如此神奇：我明明做了充分限制，为什么还是被“做俯卧撑”了？

在判断文件类型的时候，大多数程序都是使用的采用检查文件后缀的 *** ，这里主要需要注意的hacking trick是某些检查函数是否会以0字节作为结束的判断，以前动网就出过类似的漏洞，上传 fvck.jpg%00.asp即可绕过文件类型检查。

我也见过只检查文件头部的，这种也很好欺骗，构造一个合法的gif文件头部，然后将webshell贴在后面，在后缀合法的情况下，一样能够被浏览器解析：

GIF89a ?

? phpinfo(); ?

比较高级一点的是做更多的文件格式检查，比如检查图片里像素的长宽等，然后再对图片做一次压缩，这样出来的图片基本都变形了，有啥webshell也被破坏了。

而检查文件格式时候一般会用到一些网上已经封装好的类，在扫描文件格式方面还是比较有优势的。但是在检查大文件的时候效率显然是一个需要考虑的问题，很多程序员出于效率原因可能不太会愿意选择这种方式。

但是今天从PDP的这个绑定文件的猥琐 *** 看来，详细检查文件格式的 *** 还是非常有必要的，因为攻击者的目标可能不光是服务器，还是客户端，如果要对客户端有所保证，就必须要详细检查文件格式，使之落在白名单中。

第三点，单独设置文件服务器域名，也是一种针对客户端的保护。这样可能会避免许多跨域的问题。如果发生了XSS，攻击者可能还需要突破跨域的限制才能进一步扩大战果。再比如如果被上传了crossdomain.xml，可能就会导致flash的跨域问题，这些都是实实在在的风险。

第四点，改写文件名，随机文件路径。这是把风险藏起来，现在基本上尽职一点的程序员都会这么设计，这也是更大程度减小风险的非常切实有效的手段。

需要注意的是构造随机文件名或路径的算法需要足够“随机”，而不要从比如cookie之类的地方直接取一段hash出来。比较好的做法是在server上用类似random()一类的函数来生成，相信程序员们这点意识还是有的，不再赘述了。

什么情况下要用到文件上传防护功能？

为了预防黑客利用文件上传漏洞，上传一句话木马（简称Webshell）到web服务目录继而提权获取系统权限入侵网站，我们需要通过云帮手“文件上传防护”功能进行防护。

云帮手”文件上传防护”功能采用内核加固技术，以白名单的方式限制上传文件的类型，拦截木马文件上传，从源头抵御木马入侵。

为了保证日常维护正常，当用户需要一些其它的工具进行上传而不希望被拦截时，还可以将工具添加到“例外进程”中，这样使用该工具上传任何文件到保护目录都不会被拦截。

文件上传漏洞攻击 *** 有什么？

文件上传漏洞是什么？怎样防御文件上传漏洞攻击？文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说，是攻击 数据与代码分离原则 的一种攻击。

一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码

造成文件上传漏洞的原因是

对于上传文件的后缀名（扩展名）没有做较为严格的限制

对于上传文件的MIMETYPE 没有做检查

权限上没有对于上传的文件的文件权限，（尤其是对于shebang类型的文件）

对于web server对于上传文件或者指定目录的行为没有做限制

下面就闲话一些文件上传漏洞的防御方式和攻击者的绕过方式

1.前端限制

function check(){

var filename=document.getElementById("file");

var str=filename.value.split(".");

var ext=str[str.length-1];

if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){

return true;

}else{

alert("这不是图片！")

return false;

return false;

在表单中使用onsumbit=check()调用js函数来检查上传文件的扩展名。这种限制实际上没有任何用处，任何攻击者都可以轻而易举的破解。只能用于对于用户完全信任的情况下，很难称之为一种安全措施只能称之是一种防止用户误操作上传的措施，

反制：

随便的编辑一下页面/用burpsuite/写个小脚本就可以突破之，无须多言

2.检查扩展名

顾名思义，就是在文件被上传到服务端的时候，对于文件名的扩展名进行检查，如果不合法，则拒绝这次上传

在这里，还有一点是值得一提的，在检查扩展名是否合法的时候，有两种策略

黑名单策略，文件扩展名在黑名单中的为不合法,示例代码

$postfix = end(explode('.','$_POST['filename']);

if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){

echo "invalid file type";

return;

白名单策略，文件扩展名不在白名单中的均为不合法

$postfix = end(explode('.','$_POST['filename']);

if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){

//save the file and do something next

} else {

echo "invalid file type";

return;

白名单策略是更加安全的，通过限制上传类型为只有我们接受的类型，可以较好的保证安全，因为黑名单我们可以使用各种 *** 来进行注入和突破

反制

在一些 webserver 中，存在解析漏洞

1.老版本的IIS中的目录解析漏洞，如果网站目录中有一个 /.asp/目录，那么此目录下面的一切内容都会被当作asp脚本来解析

2.老板本的IIS中的分号漏洞：IIS在解析文件名的时候可能将分号后面的内容丢弃，那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤，如 a.asp;jpg

3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格，从而使得加上这两个东西可以突破过滤，成功上传，并且被当作php代码来执行

4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行

5.apache的解析漏洞，上传如a.php.rar a.php.gif 类型的文件名，可以避免对于php文件的过滤机制，但是由于apache在解析文件名的时候是从右向左读，如果遇到不能识别的扩展名则跳过，rar等扩展名是apache不能识别的，因此就会直接将类型识别为php，从而达到了注入php代码的目的

3.检查HTTP Header中的Content-Type

HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE，来识别文件类型，这个动作是由浏览器完成的，服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改，不过加上一层防护也是可以有一定效果的

反制

使用各种各样的工具（如burpsuite）强行篡改Header就可以，太容易将header中的

Content-Type: application/php

或者其他类型

改为

Content-Type: image/jpg

Content-Type: image/png

Content-Type: text/plain

等这些web程序允许的泪洗改附上常用的MIMETYPE表

text/plain（纯文本）

text/html（HTML文档）

text/javascript（js代码）

application/xhtml+xml（XHTML文档）

image/gif（GIF图像）

image/jpeg（JPEG图像）

image/png（PNG图像）

video/mpeg（MPEG动画）

application/octet-stream（二进制数据）

application/pdf（PDF文档）

application/(编程语言) 该种语言的代码

application/msword（Microsoft Word文件）

message/rfc822（RFC 822形式）

multipart/alternative（HTML邮件的HTML形式和纯文本形式，相同内容使用不同形式表示）

application/x-www-form-urlencoded（POST *** 提交的表单）

multipart/form-data（POST提交时伴随文件上传的表单）

4.分析文件头内容来检查文件类型

与 *** 2不同，还有一种检查类型的方式是使用对于文件内容的验证机制，这种 *** 利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()函数，一个通过这种 *** 来过滤的示例代码如下：

if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {

echo "File is not an image";

return;

也可以自己编写函数来进行识别，图片文件通常有称作幻数的头字节，我们来看一下几种图片文件的幻数：

（注意！下面是二进制而不是文本格式的数据）

JPG

FF D8 FF E0 00 10 4A 46 49 46

GIF

47 49 46 38 39 61

(相当于文本的GIF89a)

PNG

89 50 4E 47

通过检查头几位字节，可以分辨是否是图片文件

如果是其他类型的二进制文件，也有响应的头字节，如下表

反制

给上传脚本加上相应的幻数头字节就可以，php引擎会将

（一般不限制图片文件格式的时候使用GIF的头比较方便，因为全都是文本可打印字符。）

GIF89a

do_something();

如果是其他类型的二进制文件，也有响应的头字节，如下表

格式

文件头

TIFF (tif)

49492A00

Windows Bitmap (bmp)

424D

CAD (dwg)

41433130

Adobe Photoshop (psd)

38425053

Rich Text Format (rtf)

7B5C727466

MS Word/Excel (xls.or.doc)

D0CF11E0

MS Access (mdb)

5374616E64617264204A

ZIP Archive (zip)，

504B0304

RAR Archive (rar)，

52617221

Wave (wav)，

57415645

AVI (avi)，

41564920

Real Media (rm)，

2E524D46

MPEG (mpg)，

000001BA

MPEG (mpg)，

000001B3

Quicktime (mov)，

6D6F6F76

Adobe Acrobat (pdf)，

255044462D312E

Windows Media (asf)，

3026B2758E66CF11

MIDI (mid)，

4D546864

5.限制Web Server对于特定类型文件的行为

导致文件上传漏洞的根本原因在于服务把用户上传的本应是数据的内容当作了代码，一般来说，用户上传的内容都会被存储到特定的一个文件夹下，比如我们很多人习惯于放在 ./upload/ 下面要防止数据被当作代码执行，我们可以限制web server对于特定文件夹的行为。

大多数服务端软件都可以支持用户对于特定类型文件的行为的自定义，以Apache为例：

在默认情况下，对与 .php文件Apache会当作代码来执行，对于 html,css,js文件，则会直接由HTTP Response交给客户端程序对于一些资源文件，比如txt，doc，rar等等，则也会以文件下载的方式传送的客户端。我们希望用户上传的东西仅仅当作资源和数据而不能当作代码

因此可以使用服务器程序的接口来进行限制

以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限制

在这里插一句，如果不是专门的文件下载目录，请务必关掉文件夹浏览的权限，以防止嗅探和可能的越权，也是使用.htaccess文件，在其中加上一句

Options All -Indexes

即可。

禁止脚本执行有多种方式可以实现，而且分别有不同的效果，我们分别来看一下

1.指定特定扩展名的文件的处理方式,原理是指定Response的Content-Type可以加上如下几行

AddType text/plain .pl .py .php

这种情况下，以上几种脚本文件会被当作纯文本来显示出来，你也可以换成其他的Content-Type

2.如果要完全禁止特定扩展名的文件被访问，用下面的几行

Options -ExecCGI

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi识别

在这种情况下，以上几种类型的文件被访问的时候，会返回403 Forbidden的错误

3.也可以强制web服务器对于特定文件类型的处理，与之一条不同的是， 下面的 *** 直接强行让apache将文件识别为你指定的类型，而之一种是让浏览器

ForceType text/plain

看代码就可以很明白的知道，符合上面正则的全部被认为是纯文本，也可以继续往里面加入其他类型。

4.只允许访问特定类型的文件

order deny,allow

deny from all

在一个上传图片的文件夹下面，就可以加上这段代码，使得该文件夹里面只有图片扩展名的文件才可以被访问，其他类型都是拒绝访问。

这又是一个白名单的处理方案

永远记得，白名单是最有保障的安全措施

可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传，覆盖掉服务器上的文件，来定义文件类型和执行权限如果做到了这一点，将获得相当大的权限。

文件上传漏洞？

在上网的过程中，经常会将一些如图片、压缩包之类的文件上传到远端服务器进行保存。文件上传攻击指的是恶意攻击者利用一些站点没有对文件的类型做很好的校验，上传了可执行的文件或者脚本，并且通过脚本获得服务器上相应的权利，或者是通过诱导外部用户访问、下载上传的病毒或木马文件，达到攻击的目的。为了防范用户上传恶意的可执行文件和脚本，以及将文件上传服务器当做免费的文件存储服务器使用，我们需要对上传的文件类型进行白名单（非黑名单，这点非常重要）校验，并且限制上传文件的大小，上传的文件需要进行重新命名，使攻击者无法猜测到上传文件的访问路径。

对于上传的文件来说，不能简单地通过后缀名称来判断文件的类型，因为恶意攻击可以将可执行文件的后缀名称改成图片或者其他后缀类型，诱导用户执行。因此，判断文件类型需要使用更安全的方式。很多类型的文件，起始的几个字节内容是固定的，因此，根据这几个字节的内容，就可以确定文件类型，这几个字节也被称为魔数( magic number)。