做web開發(fā)，我們經常會做代碼走查，很多時候，我們都會抽查一些核心功能，或者常會出現(xiàn)漏洞的邏輯。隨著技術團隊的壯大，組員技術日益成熟。 常見傻瓜型SQL注入漏洞、以及XSS漏洞。會越來越少，但是我們也會發(fā)現(xiàn)一些新興的隱蔽性漏洞偶爾會出現(xiàn)。這些漏洞更多來自開發(fā)人員，對一個函數(shù)、常見模塊功能設計不足，遺留下的問題。以前我們能夠完成一些功能模塊，現(xiàn)在要求是要安全正確方法完成模塊才行。 接下來，我會分享一些常見功能模塊，由于設計原因導致漏洞出現(xiàn)。下面，我們先看下，讀取文件型功能漏洞。
我們先看下下面一段代碼，通過用戶輸入不同目錄，包含不同文件

這段代碼，可能在很多朋友做的程序里面有遇到過，對于新人來說，也是很容易出現(xiàn)這樣問題，記得走查遇到該代碼時候，我問到，你這個代碼安全方面能做到那些？
答：1. 對”..”目錄有做替換，因此用戶傳入模塊名里面有有..目錄都會被替換掉了。
    2.構造拼接file名稱，有前面目錄限制，有后面擴展名限制，包含文件就會限制在該目錄了
這段代碼真的做到了目錄安全檢測嗎？
我們來測試下，如果$mod傳入這個值將會是什么樣的結果。

$mod 通過構造輸?mod=…%2F…%2F…%2F…%2Fetc%2Fpasswd%00 ，我們看結果將是：

居然include(“/etc/passwd”)文件了。
怎么逃脫了我參數(shù)限制呢？
首先：做參數(shù)過濾類型去限制用戶輸入本來就不是一個好方法，一般規(guī)則是：能夠做檢測的，不要做替換 只要是檢測不通過的，直接pass 掉！這是我們的一個原則。過濾失敗情況，舉不勝舉，我們來看看，實際過程。
1、輸入”…/…/…/” 通過把”..” 替換為”.”后
2、結果是”../../../” 就變成了這個了
有朋友就會說，如果我直接替換為空格是不是就好了？在這個里面確實可以替換掉。但是不代表以后你都替換為空格就好了。再舉例子下。如：有人將字符串里面javascript替換掉。代碼如下：

看似不會出現(xiàn)了javascript了，但是，如果輸入:jjavascriptavascript 替換，會替換掉中間一個變?yōu)榭蘸?。前面的”j” 跟后面的會組成一個新的javascript了。

其次：我們看看，怎么逃脫了，后面的.php 限制呢。用戶輸入的參數(shù)有：”etc/passwd\0” ，\0字符非常特殊，一段連接后，文件名稱變成了”……etc/passwd\0.php”，你打印出該變量時候，還是正確的。但是，一段放入到文件讀寫操作方法里面，\0后面會自動截斷。操作系統(tǒng)，只會讀取……etc/passwd文件了。 “\0”會出現(xiàn)在所有文件系統(tǒng)讀寫文件變量中。都會同樣處理。這根c語言\0作為字符串完整標記有關系。
通過上面分析，大家發(fā)現(xiàn)做文件類型操作時候，一不注意將產生大的漏洞。而且該漏洞就可能引發(fā)一系列安全問題。

該怎么做文件類操作呢？
到這里，估計有人就會思考這個，做文件讀寫操作時候，如果路徑里面有變量時候，我該怎么樣做呢？有人會說，替換可以嗎？ “可以”，但是這個方法替換不嚴格，將會出現(xiàn)很多問題。而且，對于初寫朋友，也很難杜絕。 做正確的事情，選擇了正確的方法，會從本身杜絕問題出現(xiàn)可能了。 這里，我建議：對于變量做白名單限制。

1.什么是白名單限制

2.怎么做白名單限制
通過剛才例子，我們知道如果是枚舉類型，直接將值放到list中即可，但是，有些時候，這樣不夠方面。我們還有另外一個白名單限制方法。就是限制字符范圍

總結：是不是發(fā)現(xiàn)，白名單限制方法，做起來其實很簡單，你知道那個地方要什么，就對輸入檢測必須是那些。而且，檢測自己已知的，比替換那些未知的字符，是不是簡單多了。 好了，先到這里，正確的解決問題方法，會讓文件簡單，而且更安全??！

最新評論