Aplikacje internetowe

Dzisiejsza notka będzie składała się z dwóch części. W pierwszej z nich zostaną zaprezentowane słabości wykorzystywanych często sposobów weryfikacji uploadowanych plików. Druga część będzie koncentrowała się na technikach, których wdrożenie przyczyni się do znacznego wzrostu bezpieczeństwa mechanizmu wgrywania plików.

Słabości mechanizmu uploadu

Większość mechanizmów weryfikacji wgrywanych plików opiera się na jednej z trzech metod – sprawdzaniu rozszerzenia pliku, weryfikacji MIME-Type przesłanego pliku oraz korzystaniu z funkcji getimagesize.

Sprawdzanie rozszerzenia pliku

Najprostszym sposobem weryfikacji typu przesłanego pliku jest sprawdzenie jego rozszerzenia. Możemy tego dokonać korzystając z funkcji substr oraz strrpos w celu pobrania znaków znajdujących się po ostatniej kropce.

$fileName = $_FILES[ 'file' ][ 'name'];
$ext = substr( $fileName, strrpos( $fileName, '.' ) +1 );

Następnie musimy określić sposób weryfikacji rozszerzeń. Możemy ustalić jakie rozszerzenia mogą zostać przesłane lub jakie nie mogą ( white / black list ).

W przypadku określenia jakie typy plików nie mogą zostać wgrane możemy w łatwy sposób zablokować wszelkiego typu skrypty, które mogłyby dokonać szkód na naszym serwerze. Przykładowo jeśli mamy zainstalowany tylko interpreter PHP, do którego kierowane są wszystkie pliki z rozszerzeniem *.php, *.phtml, *.inc możemy określić, że każdy plik, który ma inne rozszerzenie może zostać wgrany. W tak prosty sposób uniemożliwiliśmy wgranie skryptów PHP na serwer. Ale czy na pewno?

Aby obejść powyższe zabezpieczenie wystarczy wgrać plik .htaccess o następującej zawartości:

AddType application/x-httpd-php .txt

Wgranie powyższego pliku spowoduje przesyłanie wszystkich plików w rozszerzeniem *.txt do interpretera PHP, a co za tym idzie traktowaniu ich jak zwykłe skrypty. Dzięki czemu wgrywając dowolny plik tekstowy uzyskujemy możliwość wykonywania skryptów PHP.

W przypadku zastosowania białych list sprawa jest dużo prostsza. Jeśli rozszerzenie pliku nie spełnia zdefiniowanych warunków plik nie zostaje zapisany. Niby wszystko działa tak jak powinno, jednak bezpieczeństwo skryptu jest w pełni zależne od konfiguracji serwera HTTP. Wystarczy, że w jego konfiguracji zostanie zdefiniowanie traktowanie plików graficznych jako skryptów (co wcale nie zdarza się tak rzadko) i nasze zabezpieczenie przestaje spełniać swoją funkcję.

Sprawdzanie typu MIME

Kolejnym często stosowanym wyznacznikiem typu przesyłanego pliku jest jego typ MIME. MIME-Type jest informacją dołączaną przez przeglądarkę określającą zawartość pliku. Przykładowo wysyłając obrazek z rozszerzeniem *.gif przeglądarka określa jego typ jako image/gif. Chcąc umożliwić wgranie dowolnego pliku będącego obrazkiem możemy ustalić, że akceptujemy wszystkie pliki, których typ rozpoczyna się od image/.

$mime = $_FILES[ 'file' ][ 'type'];

if( strpos( $mime, 'image/' ) === false )
   die( 'Wybrany plik nie jest obrazkiem.' );

Powyższe rozwiązanie ma tylko jedną wadę. Typ MIME przesyłany jest przez przeglądarkę, czyli jest on zmienną zewnętrzną. Jako, że pierwsza zasada bezpieczeństwa aplikacji internetowych mówi o braku zaufania do danych przychodzących z zewnątrz nie mamy pewności, że informacja ta jest wiarygodna.

Wykorzystując prosty skrypt Perla możemy w dowolny sposób manipulować typem przesyłanego pliku, dzięki czemu skrypt PHP może bez problemy być rozpoznany jako obrazek.

use LWP;
use HTTP::Request::Common;

$ua = LWP::UserAgent->new;

$result = $ua->request( POST 'http://localhost/file-upload/index.php',
                         Content_Type => 'form-data',
                         Content      => [
                                            file => [ 'phpinfo.php',
                                                       'phpinfo.php',
                                                       'Content-Type' => 'image/gif' ]
                                         ],
                       );
print $result->as_string( );

Weryfikacja funkcją getimagesize

Chcąc pobrać od użytkownika obrazek najprostszym sposobem jego weryfikacji jest wykonanie funkcji getimagesize przekazując do niej nazwę przesłanego pliku. W przypadku, gdy jej wynikiem będzie wartość inna niż false mamy pewność, że plik jest poprawnym obrazkiem.

Pojawia się tylko pytanie czy plik może być jednocześnie poprawnym obrazkiem i skryptem PHP?

Większość plików graficznych w swojej strukturze ma zarezerwowane miejsce na komentarz, w którym bez problemu można umieścić krótki skrypt. W wyniku czego uzyskujemy poprawny plik graficzny, który zawiera w sobie poprawny skrypt PHP. Oczywiście, aby skrypt się wykonał obrazek musi przejść przez interpreter PHP.

Zwiększenie bezpieczeństwa uploadu

Zabezpieczenie katalogu przechowującego pliki

Proces zabezpieczenia katalogu przed bezpośrednim dostępem do jego plików został opisany w notce Bezpieczeństwo dostępu do plików.

Uprawnienia plików

Innym sposobem zablokowania bezpośredniego dostępu do plików jest określenie ich praw dostępu. Podczas uploadu pliku ustawiane są mu prawa umożliwiające jego odczyt przez każdego użytkownika. Wystarczy zmienić je z 644 na 600, a dostęp ten zostanie ograniczony jedynie dla skryptów znajdujących się na serwerze.

$fileName = $_FILES[ 'file' ][ 'name'];
$ext = substr( $fileName, strrpos( $fileName, '.' ) );
$newFileName = 'upload/' . md5( time( ) . $_FILES[ 'file' ][ 'name' ] ) . $ext;

if( is_uploaded_file( $_FILES[ 'file' ][ 'tmp_name' ] ) )
   if( move_uploaded_file( $_FILES[ 'file' ][ 'tmp_name' ], $newFileName ) )
      chmod( $newFileName, 0600 );

Określenie uruchomienia dozwolonego typu plików

Nawet w przypadku, gdy katalog z uploadowanymi plikami dostępny jest publicznie oraz nie posiadamy żadnej weryfikacji typu przesłanego pliku możemy w prosty sposób uchronić się przed uruchomieniem pliku z rozszerzeniem innym niż dozwolone przez nas. Wystarczy w powyższym katalogu umieścić plik .htaccess o następującej treści:

   order deny,allow
   deny from all

Od tej pory wywołanie pliku z rozszerzeniem innym niż określone powyżej będzie skutkowało błędem odmowy dostępu.

Wyłączenie możliwości uruchomienia skryptu

Powyższy efekt możemy również osiągnąć blokując możliwość wykonywania skryptów.

Options -ExecCGI
AddHandler cgi-script .php .asp .py

Wyświetlanie skryptu jako plik tekstowy

Co prawda skrypty są zwykłymi plikami tekstowymi jednakże mają pewną właściwość, która sprawia, że nie są do końca takie zwykłe – zamiast prostego wyświetlenia przechodzą przez interpreter. Możemy jednak wymusić wyświetlanie ich w oryginalnej formie. Wystarczy w pliku .htaccess umieścić następujące dyrektywy:

   ForceType text/plain

Zmiana nazwy pliku na losową

W przypadku, gdy katalog z wgranymi plikami jest dostępny publicznie lub pliki wyświetlane są na podstawie oryginalnej nazwy istnieje możliwość dostępu do dowolnego pliku przez dowolnego użytkownika. W chwili, gdy walidacja typu pliku zostanie ominięta nic nie stoi na przeszkodzie, aby napastnik uruchomił wgrany plik. Wystarczy jednak zamienić nazwę pliku na losowy ciąg znaków, aby mimo obejścia zabezpieczeń nie było możliwe uruchomienie pliku – można wyszukać nazwy pliku metodą brute force jednak jest to bardzo nieoptymalne zadanie.

$fileName = $_FILES[ 'file' ][ 'name'];
$ext = substr( $fileName, strrpos( $fileName, '.' ) );

if( is_uploaded_file( $_FILES[ 'file' ][ 'tmp_name' ] ) )
   move_uploaded_file( $_FILES[ 'file' ][ 'tmp_name' ], 'upload/' . md5( time( ) . $fileName ) . $ext );

Tagi: getimagesize, mime type, upload
Kategoria: Bezpieczeństwo, Apache, Bezpieczeństwo, Upload