Guru's Blog

Download nhạc từ các trang nhạc lớn của Việt Nam

« PHP File Include | Trang chủ | Ra mắt Media Downloader - Beta 1 »

24 Tháng Mười 2006

@ 03:10

(Tác giả:Phạm Đức Hải)

Hiện nay bất kỳ 1 web site nào cũng biên tập 1 cách trực tuyến WYSIWYG, không giống như ngày trước việc nhập dữ liệu được thực hiện chủ yếu qua 1 chương trình client kết nối với database, viết bằng VB chẳng hạn và nhập qua FTP. Khi biên tập WYSIWYG thì một phần gần như không thể thiếu là upload file.
Dưới góc độ bảo mật tôi xin đưa ra các lỗi nguy hiểm có thể gặp phải với upload file :

- Đầu tiên, ở góc độ lập trình : rất nhiều lập trình viên không ý thức được sự nguy hiểm của phần upload file nên họ sẽ rất dễ mắc phải các lỗi sau :

Phần upload file không chứng thực --> ai cũng có thể upload file.
Không filter các loại file cho phép upload, hoặc có filter nhưng vẫn gặp lỗi (tôi sẽ nói sau) -->attacker dễ dàng upload các file nguy hiểm như : .php, .asp,.pl,... Phải filter theo kiểu chỉ cho phép các file được upload, chứ không nên theo kiều cấm các các file nguy hiểm- vì nó nhiều, hoặc phát sinh.
Sử dụng mặc định các bộ soạn thảo trực quan (WYSIWYG) như FCK Editor, HTMLArea, FreeTextBox,... thậm trí là không xóa cả ví dụ mẫu, tiềm ẩn trong các phần mềm này có rất nhiều lỗi cho phép upload file. Việc cài mặc định giúp attacker dễ dàng định vị hoặc đoán được vị trí của file bị lỗi. VD : trong FCk có file test.html có thể upload file được. Lỗi này tôi cá là bất kỳ lập trình viên nào nếu đã từng viết phần upload file cũng mắc phải, vì chỉ chú ý xem nó có chạy hay không .
Nhầm tưởng writeable là 777 --> thật ngớ ngẩn
Không đổi tên file upload, hoặc có đổi nhưng dễ đoán. Cái này bạn đừng nghĩ là vớ vẩn, vì 1 trong các cái attacker có thể chạy được file upload lên là họ phải biết vị trí file upload lên nằm ở chỗ nào.

- Đối với quản trị website : nhiều khi các admin không phải là người code, họ sử dụng phần mềm do người khác viết. Các lỗi khi sử dụng phần mềm có upload :

Không config filter file, hoặc config sai.
Đặt quyền không đúng cho các thư mục được upload file (có quyền ghi). Phải đặt theo nguyên tắc : có quyền ghi thì không có quyền chạy, chạy thì không ghi. Thông thường admin hay đánh đồng 777 với ghi (trên *nix), trên wins thì vẫn để toàn quyền đối với thư mục đã có quyền ghi.

- Lỗi sau đây thường cả coder và admin đều không biết hoặc không để ý, lỗi này thì attacker rất thích, tôi cũng thích

. Đối với các server chạy apache thì nó sẽ có vấn đề với file extension. Chẳng hạn bạn khai báo một số extenion : php, jpg, bmp, png nhưng trong khi site của bạn là 1 site giải trí cho phép cả các file .swf, .mp3,.wav, ... điều gì sẽ xảy ra nếu attacker upload 1 file như sau : test.php.mp3 --> cái hay ở chỗ này đấy. Apache nó không hiểu extension .mp3 --> nó sẽ đối xử file trên như 1 file php, file php trên là 1 con shell chẳng hạn --> thế là site đã hy sinh rồi đấy.

Hy vọng với bài viết nhỏ này bạn sẽ tìm được cái gì đó cho riêng mình, bạn nào có bổ xung thêm gì thì tôi sẽ rất vui đấy