Может ли злоумышленник, например, через форму для загрузки фоток на сайте загрузить вредносное ПО?

Question

[sorry_i_noob]

Здравствуйте. Я не силен в безопасности. Меня интересует такой вопрос. Может ли злоумышленник, например, через форму для загрузки фоток на сайте загрузить вредносное ПО? И если да, то как это происходит? Загрузил он какой-либо файл, а дальше что? Этот файл лежит там и никому не мешает. Если я и открываю его, то через специальные программы, например, ImageMagick. Которые не каждый файл могут открыть, а только изображения.

Если такое возможно, то поможет ли мне валидация на тип? Тип, который идет после точки в названии файла. Или это просто изменение названия? И ничего толком не дает в плане защиты? Если так, то как защищаться?

Answer 1

[xmoonlight]

Может. Надо проверять "тело" файла на корректность того, что это - именно файл изображения. Банально - попробовать получить размер изображения с помощью функций для используемого языка программирования.
Например, для PHP: функция GD-библиотеки getimagesize().

Также, нужно недопускать запуск всего подряд из папок-хранилищ!
(из-за админов - я не могу линк запостить сюда...)
Для понимания, сделайте поиск в гугл (вместе с кавычками!):

"Надежная защита веб-сайта от большинства видов атак"

и почитайте по 1-й ссылке.

-------------------------------------------------

Добавлю ещё, что можно изначально сохранять в "отстойник"/"хранилище" - директорию выше webroot и недоступную из-вне (т.е. веб-сервер никак не сможет вернуть содержимое файла или сделать его запуск).

Далее, 2 варианта:
1. Если это "отстойник" - проверяем и переносим куда нужно
2. Если "хранилище" - проверяем и оставляем там, потом читаем скриптами веб-сервера прям из той директории.

Comments

[sorry_i_noob]

А как это сделать? Какие функции в php есть для этого?

[xmoonlight]

sorry_i_noob, добавил (как раз в этот момент дописывал ответ... :) )

[sorry_i_noob]

xmoonlight, спасибо. А если у меня не изображение, а книга, например? Если у меня сайт - интернет-библиотека. Как тогда проверять?

[xmoonlight]

sorry_i_noob, ищите стандартные функции для работы с нужными Вам форматами загружаемых файлов и ими проверяете различные параметры структуры: если, вместо ожидаемого формата, подсунут скрипт - то структура будет невалидна и проверка не пройдёт. Таким образом и предотвратите заливку вредоносных файлов.

[sorry_i_noob]

xmoonlight, можно несколько вопросов...

Правило №0: При переходе от одной технологии, процесса, этапу к любому другому,
ВСЕГДА ПРОВЕРЯЙТЕ ВХОДНЫЕ ДАННЫЕ!,
т.к. вероятность выхода из строя разнородных узлов без видимой ошибки - близка к 100%.

Что такое входные данные в контексте перехода от одной технологии к другой? Это, например, проверять исходный код новой технологии на наличие в нем уязвимостей?
Я слышал про входные данные, которые приходят от пользователя через $_GET, $_POST, $_FILES. Но мне кажется, что вы имеете в виду что-то другое.

3. Настраиваем доступ к админ-панели только с доверенных IP-адресов. Можно указать или полный адрес, или подсеть (не забыв точку в конце!), или DNS-имя хоста.

Что означает DNS-имя хоста? Доменное имя может быть не только у сайта, но и у пользователя (которому разрешен доступ в админку)? Никогда не видел регистрацию доменов для пользователя.

4. Не забывайте создавать резервную копию сразу после настройки нового сайта, а также настроить систему автоматического создания резервных копий на хостинге в определенную папку (не внутри www-root, а вне её!) и периодически синхронизируйте содержимое этой папки с хостинга к себе в локальное хранилище (на диск ПК, USB-флешку и т.д.).

www-root - что это за папка? У меня на хостинге (beget.ru) такой нет (смотрю через filezilla). www-root - это папка конкретного домена (сайта)? А резервные копии должны храниться в другой папке - в которой лежат папки всех моих доменов (сайтов)? Самой "верхней" папке?

[xmoonlight]

sorry_i_noob, (без обид!) Ваши вопросы как никогда соответствуют вашему нику! :)

1.

Что такое входные данные в контексте перехода от одной технологии к другой?

Да. Я пишу про всё: в общем смысле.($_POST/$_GET - это частный случай)

Пример: Вы пишите свой код и используете для каких-то операций стороннюю библиотеку (или сервис). Взаимодействие с ней может осуществляться множеством способов и/или она может быть написана на другом языке и/или быть построена по другой технологии. Также, она может быть уязвима при некорректности входных данных (+она обновляется и в код Вы - не вникаете). Перед тем как ей что-то передать на вход Вы должны обязательно проверить входные данные на то, что они не содержат неожидаемых библиотекой входных данных: инструкций/команд и передаваемых значений.

2.

Что означает DNS-имя хоста?

DNS-имя интернет-провайдера (или любое из DNS "белого" IP) пользователя, который подключается для администрирования сайта (веб-мастер).

3. www-root - это не конкретное имя, а краткое нарицательное название, обозначающее корневую папку домена/сайта (document root).
А резервные копии должны храниться в любом месте, недоступному для запросов через веб-сервер из-вне. Например, в любом месте выше (по иерархии вложенности) корневой папки домена (www-root).

[sorry_i_noob]

Может. Надо проверять "тело" файла на корректность того, что это - именно файл изображения.
Например, для PHP: функция GD-библиотеки getimagesize().

Я попробовал поместить в папку с изображениями php скрипт с таким кодом:

while (true) {
	echo '123';
}

Я попробовал открыть его (через запрос в браузере), он открылся, и у меня в браузере стало показываться, что страница загружается. Бесконечно.
Потом я добавил ему расширение jpg:
script.php.jpg
Пробовал и вот так:
script.jpg
Снова открываю через запрос в браузере. Теперь не показывается, что страница вечно загружается. Она загрузилась и все. Вместо картинки черный фон и небольшой контур квадрата.

Так зачем же проверять "тело" файла? Если у меня валидация на расширение (последние символы в названии с конца после точки).

[xmoonlight]

sorry_i_noob, расширение - это минимальная защита для прямого доступа через веб-сервер к файлу (т.е. как в Вашем примере).
Для PHP - есть include_*(), system(), и т.д.
Для системы (OS) - вообще не важно какое расширение, чтобы сделать запуск файла и т.д.
Поэтому, нужно убедиться, что загружен был именно ожидаемый и корректный формат файла, проверив его "тело".

Answer 2

[CityCat4]

Не только может, а непременно так и сделает, если ему дать такую возможность ;)

Comments

[sorry_i_noob]

А как мне узнать тип файла? Не название после точки (.jpg), а именно тип? В php.

Answer 3

[ТыжСисАдмин]

Выше xmoonlight и CityCat4 уже всё сказали.
Хочу только добавить что в каталоге куда загружаются "например фотки" должно быть запрещено запуск чего либо, как на уровне php так и самой системы.

Comments

[sim3x]

Точнее вся ФС со статикой должна быть смонтирована с флагом noexec
Одновременно защитит от таких гадостей и не даст создать симлинки на системные утилиты

[xmoonlight]

sim3x,

и не даст создать симлинки на системные утилиты

Бывалый?! ;)

[sim3x]

xmoonlight, CTF

[xmoonlight]

sim3x, я так и понял! )

[sorry_i_noob]

ТыжСисАдмин, а зачем запрещать в двух местах сразу? почему ТОЛЬКО на уровне php нельзя?
И кстати, как это сделать на уровне php? Вы имеете в виду .htaccess?

должно быть запрещено запуск чего либо, как на уровне php так и самой системы.

Answer 4

[Дмитрий Дарт]

Может. Надо проверять всё в файле - расширение, тип. Работает это так, что он сначала загружает файл фото, потом смотрит откуда эта картинка стала открываться, загружает php-файл, например, с командой удалить всё в этой папке, на папку выше или ещё что-то и набирает его адрес в браузере, таким образом запуская его.
Ещё для защиты неплохо бы запретить исполнение любых файлов в директории с фото, например с помощью htaccess

Comments

[Антон]

Ещё для защиты неплохо бы запретить исполнение любых файлов в директории с фото, например с помощью htaccess

Так chmod же

[sorry_i_noob]

А можете привести код htaccess?

[Дмитрий Дарт]

Антон, да, но для тех кто не умеет в chmod лучше чем ничего ))

[Дмитрий Дарт]

sorry_i_noob, Отключение выполнения php-скриптов для поддиректорий виртуального хоста Apache

[sorry_i_noob]

Дмитрий Дарт, так это будет работать или нет? вы стали спорить с пользователем Антон, что это лучше, чем ничего. Мне бы хотелось надежно защититься.

[Антон]

sorry_i_noob, Права на файлы в папке с загрузками на 644 поменяйте.

[Дмитрий Дарт]

sorry_i_noob, работают оба метода, с правами надёжнее )

[sorry_i_noob]

Дмитрий Дарт, зачем проверять и тип, и расширение? Если можно только расширение? Посмотрите, пожалуйста, последний комментарий к ответу xmoonlight. В нем я написал подробности.

[Дмитрий Дарт]

sorry_i_noob, расширение можно подменить

[sorry_i_noob]

Дмитрий Дарт, как?

[Дмитрий Дарт]

sorry_i_noob, Файл -> Сохранить как