Введение в практическую безопасность (2019)/Небезопасная загрузка файлов - История изменений

Asterite: /* Но далеко не только это */

2019-03-17T18:43:59Z

Но далеко не только это

← Предыдущая версия		Версия от 18:43, 17 марта 2019
Строка 33:		Строка 33:
	К уязвимостям небезопасной загрузки файлов также можно относить уязвимости, связаные не с созданием загруженного файла на диске, а с его обработкой на сервере (или способом хранения). К примеру, изображение может загружаться на серевер и как-то обрабатываться (конвертироваться в другой формат например), после чего возвращаться клиенту или передаваться еще куда-то - и в софте, занимающимся обаботкой, может быть уязвимость. На диске на сервере оно может при этом не сохраняться вообще.		К уязвимостям небезопасной загрузки файлов также можно относить уязвимости, связаные не с созданием загруженного файла на диске, а с его обработкой на сервере (или способом хранения). К примеру, изображение может загружаться на серевер и как-то обрабатываться (конвертироваться в другой формат например), после чего возвращаться клиенту или передаваться еще куда-то - и в софте, занимающимся обаботкой, может быть уязвимость. На диске на сервере оно может при этом не сохраняться вообще.

	~~Больше~~ про уязвимости загрузки файлов можно найти в [https://khashaev.ru/secsem/file-upload/slides.pdf этих отличных слайдах от Артура Хашаева]. [https://www.owasp.org/index.php/Unrestricted_File_Upload Вот про уязвимый file upload на OWASP].		Еще инфу про уязвимости загрузки файлов можно найти в [https://khashaev.ru/secsem/file-upload/slides.pdf этих отличных слайдах от Артура Хашаева]. [https://www.owasp.org/index.php/Unrestricted_File_Upload Вот про уязвимый file upload на OWASP].

Asterite: /* Но далеко не только это */

2019-03-17T18:12:28Z

Но далеко не только это

← Предыдущая версия		Версия от 18:12, 17 марта 2019
Строка 33:		Строка 33:
	К уязвимостям небезопасной загрузки файлов также можно относить уязвимости, связаные не с созданием загруженного файла на диске, а с его обработкой на сервере (или способом хранения). К примеру, изображение может загружаться на серевер и как-то обрабатываться (конвертироваться в другой формат например), после чего возвращаться клиенту или передаваться еще куда-то - и в софте, занимающимся обаботкой, может быть уязвимость. На диске на сервере оно может при этом не сохраняться вообще.		К уязвимостям небезопасной загрузки файлов также можно относить уязвимости, связаные не с созданием загруженного файла на диске, а с его обработкой на сервере (или способом хранения). К примеру, изображение может загружаться на серевер и как-то обрабатываться (конвертироваться в другой формат например), после чего возвращаться клиенту или передаваться еще куда-то - и в софте, занимающимся обаботкой, может быть уязвимость. На диске на сервере оно может при этом не сохраняться вообще.

	Больше про уязвимости загрузки файлов можно найти в [https://khashaev.ru/secsem/file-upload/slides.pdf этих отличных слайдах от Артура Хашаева]~~, вот~~ про		Больше про уязвимости загрузки файлов можно найти в [https://khashaev.ru/secsem/file-upload/slides.pdf этих отличных слайдах от Артура Хашаева]. [https://www.owasp.org/index.php/Unrestricted_File_Upload Вот про уязвимый file upload на OWASP].

Asterite: /* PHP web shell */

2019-03-17T18:11:23Z

PHP web shell

← Предыдущая версия		Версия от 18:11, 17 марта 2019
Строка 14:		Строка 14:
	system("ls /");		system("ls /");
	</pre>		</pre>
	и, получив ссылку на него (к примеру, <code>/uploads/5c8e82bb8ad66/attack.php</code>) обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет произведение чисел 5 и 1451, а также список файлов в корневой директории сервера (функция PHP <code>system</code> работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell. В итоге атакующий получает '''выполнение произвольного кода''' на сервере ('''RCE''').		и, получив ссылку на него (к примеру, <code>/uploads/5c8e82bb8ad66/attack.php</code>) обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет произведение чисел 5 и 1451, а также список файлов в корневой директории сервера (функция PHP <code>system</code> работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell). В итоге атакующий получает '''выполнение произвольного кода''' на сервере ('''RCE''').

	==== Обход механизмов защиты ====		==== Обход механизмов защиты ====

Asterite: /* PHP web shell */

2019-03-17T18:11:08Z

PHP web shell

← Предыдущая версия		Версия от 18:11, 17 марта 2019
Строка 14:		Строка 14:
	system("ls /");		system("ls /");
	</pre>		</pre>
	и, получив ссылку на него (к примеру, <code>/uploads/5c8e82bb8ad66/attack.php</code>) обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет произведение чисел 5 и 1451, а также список файлов в корневой директории сервера. В итоге атакующий получает '''выполнение произвольного кода''' на сервере ('''RCE''').		и, получив ссылку на него (к примеру, <code>/uploads/5c8e82bb8ad66/attack.php</code>) обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет произведение чисел 5 и 1451, а также список файлов в корневой директории сервера (функция PHP <code>system</code> работает так же как одноимённая функция библиотеки Си - то есть выполняет команду shell. В итоге атакующий получает '''выполнение произвольного кода''' на сервере ('''RCE''').

	==== Обход механизмов защиты ====		==== Обход механизмов защиты ====

Asterite: Новая страница: «NOTOC '''Загрузка файлов''' пользователями - довольно частая часть функциональности веб-пр…»

2019-03-17T18:08:42Z

Новая страница: «__NOTOC__ '''Загрузка файлов''' пользователями - довольно частая часть функциональности веб-пр…»

Новая страница

__NOTOC__
'''Загрузка файлов''' пользователями - довольно частая часть функциональности веб-приложения (аватарки, хостинг файлов, посылка вложений вместе с сообщениями и т. д.). Небезопасная реализация этого механизма может приводить к очень серьезным уязвимостям.

== Создание загруженного файла на сервере ==

Самый простой способ реализации механизма загрузки файлов - просто создавать на файловой системе сервера файл с таким же содержимым как файл, отправленый пользователем (проще говоря, "класть" присланный пользователем файл куда-то на файловую систему сервера). После загрузки файл либо доступен пользователю по прямой ссылке (т. е. определенные URL-адреса мапятся на загруженные файлы и существует URL, обращение к которому ведет к отдаче загруженного файла), либо как то еще обрабатывается веб-приложением. Само веб-приложение во многом состоит из файлов на диске, поэтому добавление файлов на сервер может быть небезопасным, так как (в общем случае) может изменить логику работы приложения.

=== PHP web shell ===

Простейшим примером является загрузка файла с расширением <code>.php</code> на сайт, работающий на '''PHP'''. По умолчанию PHP-сайты работают так что пользователь обращается по URL к файлу (URL сайта, начиная с первого <code>/</code>, мапятся на определенную директорию на сервере, она называется '''web root''') и, если этот файл имеет расширение <code>php</code> (или другое расширение из предопределенного списка расширений для PHP-файлов), то содержимое этого файла выполняется как код на PHP, вывод этого кода возвращается пользователю в ответе (кстати, так работает не только PHP, но и '''ASP.NET Web Forms''', '''JSP''', '''ASP'''). В результате, если пользователь может загрузить на сайт файл c расширением <code>.php</code> и обратиться к нему по URL (т. е. этот файл будет создан где-то внутри '''web root'''), то, если сервер специально не настроен чтобы файлы из директории для загрузок не выполнялись, PHP-код в нём будет выполнен. Это можно попробовать на стенде http://fu.stands.course.secsem.ru - хотя сайт предназначен для загрузки изображений, если атакующий загрузит на него файл <code>attack.php</code> c кодом
<pre><?php
echo "5 * 1451 = ", 5 * 1451;
echo " ls /: ";
system("ls /");
</pre>
и, получив ссылку на него (к примеру, <code>/uploads/5c8e82bb8ad66/attack.php</code>) обратится по ней, то в результате этот PHP-код выполнится и в ответе сервера будет произведение чисел 5 и 1451, а также список файлов в корневой директории сервера. В итоге атакующий получает '''выполнение произвольного кода''' на сервере ('''RCE''').

==== Обход механизмов защиты ====

Даже когда создатель сайта знает о возможной опасности и использует механизмы защиты, они могут оказаться неэффективными.

Проверка типа файла '''на клиенте''' (т. е. в браузере) с помощью выставления типа атрибута <code>accept</code> у file input или с помощью JavaScript-кода неэффективна просто потому что атакующий может не использовать браузер (а использовать вместо него тот же Burp Suite или скрипт на Питоне).

Нередко запрещается загрузка "опасных" расширений , однако, во первых, черный список может быть неполным (кроме <code>php</code> в качестве расширения для PHP-файлов распознаётся, как правило, <code>php3</code>, <code>php4</code>, <code>php5</code>, <code>pht</code>, <code>phtml</code>) или проверка может тривиальным образом обходиться (например расширение <code>pHP</code> может обойти чёрный список, но быть воспринятым как расширение PHP-скрипта сервером). Также, из-за особенностей конфигурации сервера файл может быть проинтерпретирован как PHP-скрипт когда <code>.php</code> является '''не последним''' расширением (т. е. например <code>attk.php.jpg</code>).

Другим вариантом может быть проверка '''содержимого''' на то, относится ли оно к ожидаемому типу (скажем, изображению или видео). Однако, тут атакующему помогает то что PHP довольно толерантен к содержимому скриптов - PHP-код начинается с <code><?php</code> (или просто <code><?</code> если включена настройка <code>short_open_tag</code>) и может заканчиваться на <code>?></code> - всё что находится за пределами этих маркеров (эдакого "тэга") просто выдаётся в вывод as is без ошибок, какие бы байты там ни были.
В результате, PHP-скрипт может быть вполне валидной картинкой и, если где-то в середине неё встретится <code><?php system("echo ATTACK HERE"); ?></code>, этот код выполнится. Здесь атакующему может помешать то что в бинарном файле может просто случайно встретиться маркер начала PHP-кода, то что идет после него скорее всего не будет валидным PHP-кодом и выполнение упадёт с ошибкой. Для борьбы с этим можно стараться брать медиафайлы поменьше (чтобы снизить вероятность того что в них найдется определённая последовательность байт), ну и проверять их. Другая вещь, которая может осложнить эту атаку ещё больше - преобразование файла на сервере (resize картинки, пережатие видео) - однако, успешно атаковать бывает можно и в этих случаях.

== Но далеко не только это ==

Небезопасная загрузка файлов может быть далеко не только в PHP и упомянутых ASP.NET Web Forms/JSP/ASP, загрузить файлы с исходным кодом и добиться их выполнения бывает можно и в случае сайтов на '''Python''' и '''JavaScript''' и других платформ. Вообще, файлы с исходным кодом не являются единственным вектором атаки, другим вариантом является загрузка конфигурационных файлов, для того же PHP бывает можно загрузить конфигурационный файл <code>.htaccess</code>, который позволяет внести изменения в конфигурацию сервера для данной директории, что в конечном итоге также даёт выполнение произвольного кода (точно так же в случае ASP.NET бывает можно загрузить конфигурационный файл <code>web.config</code>).

К уязвимостям небезопасной загрузки файлов также можно относить уязвимости, связаные не с созданием загруженного файла на диске, а с его обработкой на сервере (или способом хранения). К примеру, изображение может загружаться на серевер и как-то обрабатываться (конвертироваться в другой формат например), после чего возвращаться клиенту или передаваться еще куда-то - и в софте, занимающимся обаботкой, может быть уязвимость. На диске на сервере оно может при этом не сохраняться вообще.

Больше про уязвимости загрузки файлов можно найти в [https://khashaev.ru/secsem/file-upload/slides.pdf этих отличных слайдах от Артура Хашаева], вот про

Введение в практическую безопасность (2019)/Небезопасная загрузка файлов - История изменений

Asterite: /* Но далеко не только это */

Asterite: /* Но далеко не только это */

Asterite: /* PHP web shell */

Asterite: /* PHP web shell */

Asterite: Новая страница: «__NOTOC__ '''Загрузка файлов''' пользователями - довольно частая часть функциональности веб-пр…»

Asterite: Новая страница: «NOTOC '''Загрузка файлов''' пользователями - довольно частая часть функциональности веб-пр…»