安恒新一代智能WAF防护新引擎新效果,让WEBSHELL无所遁形文 | 安恒信息

今天来聊聊,Web攻防之文件上传漏洞防护。

有客户网站经常碰到有人恶意传小马、放大马——利用文件上传漏洞被攻击者利用,上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,那这个脚本文件就是我们所说的小马大马。

通常小马的功能一般都比较单一,作用一般是向服务器中写入文件数据。因为其功能单一的特性,隐蔽性通常都比较高,有些网站对上传文件大小做了限制,小马因为占用空间也小也能绕过这些限制。安恒新一代智能WAF防护新引擎新效果,让WEBSHELL无所遁形01 应用场景

Web应用通常都会有文件上传的功能,日常我们上网过程中就经常遇到这种场景,比如注册处上传自己的头像,个人信息处上传照片,商品评价处上传商品照片。

安恒新一代智能WAF防护新引擎新效果,让WEBSHELL无所遁形

此类场景还有非常多,只要允许上传文件的地方就有可能存在文件上传漏洞!

02  漏洞危害

(1)网站被控制,对文件增删改查,执行命令,链接数据库;

(2)利用exp提权,导致服务器沦陷;

(3)同服务器的其他网站沦陷。

03  漏洞利用

那么攻击者如何利用该漏洞呢?可将文件上传漏洞利用分为三步:

步骤一:上传伪装的可执行文件小马:对应网站开发语言编写的动态脚本,体积小、功能少,一般用来上传大马(用来绕过相关限制)。大马:对应网站开发语言编写的动态脚本,体积大、功能多(执行命令、上传下载文件)可调用系统关键函数,隐蔽性不好。一句话木马:除了上述小马大马以外,还有隐蔽性更强的“一句话木马”。其对应网站开发语言编写的动态脚本,代码只有一行,场合webshell工具结合使用发挥更强威力。

步骤二:确认文件保存路径确认上传文件路径,保证能访问我们上传的文件,通过中国菜刀、中国蚁剑或者冰蝎等能够连接起来。

步骤三:执行攻击操作确认上传目录有可执行权限,保障我们连接到的恶意代码能够在该目录下能够被解析执行执行。

04  传统文件上传漏洞防护手段

传统的文件上传漏洞防护主要通过以下几个方面进行防护:

• 限制文件上传的类型以及大小

• 上传文件保存的的文件和目录名由系统定义

• 将上传目录直接设置为不可执行

但是通过分析文件上传漏洞传统防护手段我们发现,传统的漏洞防护只针对在服务器上面做相关防护,对文件的目录保护以及文件绕过的检测手段稍显不足,容易被攻击者轻松绕过,那么是否有更好的手段能够更好的防护我们现有的网络呢?

05  文件上传漏洞防护升级

安恒信息新一代智能WAF斩获Frost&Sullivan 2019年大中华区(中国大陆+港澳台)Web应用防火墙整体市场份额排名第一的殊荣!(点击详情)。在近期大规模的攻防对抗时期,应用广泛的Web攻击工具冰蝎3.0版本发布,其最重要的变化就是“全程加密传输,无明文交互”,这给基于签名特征库匹配的WAF带来了新的挑战,新一轮的特征库紧急升级又开始了。而安恒信息新一代智能WAF语义分析引擎不仅支持基于OGNL的语义分析,同样支持对JSP、PHP、ASP的文件识别检测,可有效阻断异常文件的上传,检出率大大提升,效果明显,因此无须升级即可获得针对冰蝎3.0的免疫防护能力!

语义分析引擎通过对上传的文件分析确认其合法性,攻击者在利用该漏洞进行攻击时,通常通过修改文件属性来绕过常规文件检测上传恶意文件(小马、大马、一句话木马等),只要上传文件所在的目录有可执行权限,且文件校验不严谨的情况下,就能执行上传的恶意文件从而获取整个服务器的权限。

因此在检测文件是否是异常文件时,语义分析引擎通过多种技术对上传的文件进行检测分析,保证用户正常文件的上传同时阻止异常文件的上传。

本文为安恒信息风暴中心原创文章,转载请注明出处

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。

陕ICP备11003551号-2