Jak bezpiecznie uniemożliwić uruchomienie przesłanego pliku za pośrednictwem PHP na dowolnym serwerze?

Question

Zauważyłem, że możliwe jest uruchamianie pliku przez PHP, nawet jeśli jego rozszerzenie nie było .php, na przykład plik test.xyz.php.whatever.zyx może być nadal uruchomiony z PHP, nawet jeśli rozszerzenie nie jest .php! Tak się składa, że ​​w nazwie pliku jest .php. i to wystarczy, aby mój Apache mógł uruchomić skrypt PHP.

próbowałem (jak ktoś zasugerował), aby umieścić to w pliku .htaccess tego folderu:

php_flag engine off 

Ale to nie działa na moim komputerze.

Jedyne rozwiązania wiem na teraz to:

• Zmień nazwę, aby znane rozszerzenia pliku, który nie jest prowadzony za pośrednictwem PHP, takich jak .txt.
• Usuń wszystkie kropki z nazwy pliku, dzięki czemu nie ma żadnych rozszerzeń.

Ale nadal nie jestem pewien, w jaki sposób te rozwiązania będą działać na innych serwerach niż mój serwer Windows (z Apache).

Czy istnieją inne rozwiązania, które nie wymagają nazwy pliku w żaden sposób zmieniany?

Answer 1

Zamiast php_flag engine off można usunąć program obsługi plików PHP przy użyciu pliku .htaccess dla pojedynczego katalogu.

W katalogu są wyłączenie w PHP, Twój .htaccess powinien zawierać:

RemoveHandler .php .phtml .php3 .php4 .php5 
RemoveType .php .phtml .php3 .php4 .php5 

można prawdopodobnie uciec z niżej jednak, w zależności od AddHandler rodzaje skonfigurowaniu w domyślnej konfiguracji serwera Apache, który, na oknach, powinny być w C:\Program Files\Apache<version>\conf\httpd.conf

RemoveHandler .php 
RemoveType .php 

Potrzebny będzie również do zapewnienia, że ​​w głównym pliku konfiguracyjnym Apache, że katalog zawierający plik .htaccess jest, jest objęty Directory oświadczenie, które ma zestaw AllowOverride FileInfo. Możesz rozważyć użycie AllowOverride All, jeśli będziesz używał plików .htaccess do innych celów - patrz the Apache documentation for AllowOverride, aby uzyskać wyjaśnienie różnic.

Answer 2

nie jest to dobra odpowiedź, ale mam nadzieję przydatna w niektórych szczególnych przypadkach ...

można użyć mod_rewrite w pliku .htaccess jak ten:

RewriteRule ^(.+).xyz.php.whatever.zyx$ index.php?openfile=$1 [NC,L] 

i wewnątrz pliku index.php:

$file = secure_this_string($_GET['openfile']); 
include($file.'.xyz.php.whatever.zyx'); # or some other files 

pamiętaj, aby zobaczyć tę odpowiedź ze względów bezpieczeństwa StackOverFlow

aw test.xyz.php.whatever.zyx pliku:

<?php echo 'hello'; 

teraz jeśli klient żąda /test.xyz.php.whatever.Plik ZYX, obecnie wprowadzone powinny być „hello”

Answer 3

do przesyłania przez użytkowników Sugeruję przesłać folder w warstwie powyżej ścieżki korzenia w tym przypadku tylko masz dostęp do przesyłania folderu (w bezpośrednim adresowania) i atakujący nie mają dostępu do wszystkich plików w tym folderze zatem wyłączyć działanie atakującemu uruchomienie szkodliwego pliku

Answer 4

Przede wszystkim trzeba zrozumieć, co się dzieje tutaj:

test.xyz.php.whatever.zyx 

taki plik na serwerze internetowym na swój własny nie zrobiłby nic. Dodana tylko konfiguracja mówi Apache'owi, aby wykonywał PHP na tym pliku.

Więc jeśli usunąć ten dodatek konfiguracji Apache nie obchodzi znaleźć .php tam - czy to na samym końcu lub części ułożone file-extension.

Sprawdź, który handler ustawiony dla php w konfiguracji serwera. Usuń go z katalogu przesyłania. To nie rozwiąże żadnych problemów konfiguracyjnych, które możesz mieć z przesłanymi plikami, jednak pliki PHP nie są wykonywane przez PHP dłużej - to jest to, co chcesz, jeśli dobrze cię zrozumiałem.

Jeśli masz problem, aby dowiedzieć się, o co w tym chodzi, musisz opublikować swoją konfigurację PHP w pliku httpd.conf i powiązanych plikach konfiguracyjnych Apache HTTPD dla swojego systemu.

Dyrektywa ktoś powiedział ci o .htaccess:

php_flag engine off 

działa tylko jeśli PHP działa jako moduł Apache SAPI.

Answer 5

Proste regex by wykonać zadanie

<?php 
$a = strtolower($_FILES["file"]["name"]); 
$replace = array(".php", ".phtml", ".php3", ".php4", ".php5"); 
$_FILES["file"]["name"] = str_replace($replace, "", $a); 
?> 

Działa to dobrze na dowolnym serwerze

Answer 6

mogę odtworzyć problem dość łatwo na naszym serwerze. Jest sposób, aby to naprawić, trzeba edytować /etc/mime.types i wykomentuj linie

#application/x-httpd-php        phtml pht php 
#application/x-httpd-php-source     phps 
#application/x-httpd-php3      php3 
#application/x-httpd-php3-preprocessed   php3p 
#application/x-httpd-php4      php4 
#application/x-httpd-php5      php5 

linie te powodują coś z .php w nazwie mają być przetwarzane. Po wykomentuj wpisy w mime.types, mod_php config w /etc/apache2/mods-enabled/php5.conf ma to wejście, które poprawnie tylko przetwarza pliki ZAKOŃCZENIE z .php

<FilesMatch "\.ph(p3?|tml)$"> 
    SetHandler application/x-httpd-php 
</FilesMatch> 

Co jest NAPRAWDĘ STRASZNE jest to domyślna konfiguracja (w naszym przypadku Ubuntu 10.04).

---

EDIT

W systemie Windows plik mime.types powinny być w apache_home/conf/MIME.Typy

Answer 7

Aby być całkowicie bezpieczne, trzeba zrobić kilka rzeczy:

Ustaw katalog przesyłania powyżej folderze „publiczny”, co niedostępne z poziomu przeglądarki. To ustawienie znajduje się w pliku php.ini (plik konfiguracyjny PHP). Aby to zrobić, musisz ponownie uruchomić Apache. Na większości serwerów internetowych RedHat/Fedora/CentOS, to może być:

upload_tmp_dir = "/var/tmp/" 

OR, na moim lokalnym Windows 7 WAMP zainstalować, jest ustawiony na:

upload_tmp_dir = "c:/wamp/tmp" 

Wyłącz skrypty z jazdy na tym katalogu (C:/wamp/tmp), w .htaccess:

RemoveHandler .php .phtml .php3 
RemoveType .php .phtml .php3 
php_flag engine off 

w skrypcie PHP, uzyskać przesłanego pliku filtrować je na podstawie typu MIME (brak t rozszerzenie typu pliku), zmień nazwę pliku i umieść go w bezpiecznym publicznie dostępnym folderze. Bardziej szczegółowo:

• utworzyć białą listę typów plików, np: tylko obrazy (JPEG, PNG, GIF, BMP). Można to zrobić za pomocą mime_content_type()http://php.net/manual/en/function.mime-content-type.php lub nowszą finfo_file()http://us3.php.net/manual/en/function.finfo-file.php
• wybrać nową nazwę pliku, często lepiej jest użyć losowego mieszania MD5 opartą na oryginalnej nazwy pliku + sól + datownik.
• ruch do folderu publicznego ex "C:/wamp/www/PROJECT_NAME/publiczny/przesłane"

Zaleca się stosowanie ramy MVC, takich jak Zend ramowe, które obejmuje filtrowanie typu pliku.

Jeśli to wszystko zrobisz, powinieneś być bezpieczny. Oczywiście nigdy nie będziesz w 100% bezpieczny, ponieważ istnieją niezliczone, niejasne exploity atakujące PHP, MySQL, linię poleceń itp., Szczególnie na starszych systemach. Na większych serwerach firmowych (nad którymi pracuję), wyłączają wszystko i selektywnie włączają tylko to, co jest wymagane dla projektu. Dzięki systemowi, na przykład WAMP, umożliwiają wszystko, aby ułatwić rozwój lokalny.

Dobrą praktyką w pracy nad profesjonalnym projektem jest zdobycie konta serwera w chmurze za pomocą Rackspace lub Amazon i nauczenie się, jak skonfigurować ustawienia php.ini i httpd.conf, a także najlepsze praktyki dotyczące bezpieczeństwa PHP. Ogólnie nie ufaj wprowadzanym przez użytkowników informacjom, spodziewaj się, że są one uszkodzone/złośliwe/zniekształcone, a na koniec będziesz bezpieczny.

Answer 8

Poniższy .htaccess -code może działać i odmówić dostępu do plików zawierających „php”:

<FilesMatch "php"> 
    Deny from all 
</FilesMatch> 

Answer 9

Osobiście, to jest główny powód, dla którego nie jest już przesyłać pliki do serwera WWW w żadnych okolicznościach. Zamiast tego używam S3/Amazon SDK, aby przenieść przesłany plik tymczasowy bezpośrednio do zasobnika na S3 z uprawnieniami prywatnymi (ja używam S3, jakakolwiek inna CDN będzie działać tak dobrze). Jeśli plik musi być przeglądany lub przeglądany przez klienta WWW, używam funkcji sortowania "getter", która integruje się z SDK, aby pobrać plik i wyświetlić go.

Jest tylko tyle niekontrolowanych zmiennych, które wchodzą w grę za każdym razem, gdy zezwalasz na przesyłanie dowolnego pliku na serwer WWW, zarządzanie prawami, filtrowaniem, a nawet spacją może być trudne. Z S3 (lub jakimkolwiek innym CDN), wszystko to jest bardzo łatwe do zarządzania, a wszystkie pliki są domyślnie poddane kwarantannie z serwera.

Answer 10

W Apache można wyłączyć wszystkie procedury obsługi dynamicznej dla katalogu zawierającego niezaufane pliki.

SetHandler default-handler