软件测试 | web 测试—上传带有恶意文件名的文件

问题

除了常规 HTTP 的常规请求 - 响应接触以外，允许上传文件的应用提供了另一种攻击途径。在你上传文件时，你的浏览器会随同文件内容一起发送一个文件名。文件名本身可以为注入攻击提供一种潜在的机会。你需要测试你的应用对这种文件名的处理方式。本秘诀将演示如何将文件上传作为一种特殊的输入表单进行测试。

解决方案

这个测试可以用于任何允许用户上传文件的表达，如果这个文件之后会被下载或显示为图像，那么这个测试将特别有用。

首先，在你本地计算机上创建一个测试图像文件。将这个文件复制复制若干份，在文件名中使用各种非法或可以的字符，比如单引号，等号或者圆括号。例如，在 Windows NTFS 文件系统中，‘onerror=’alert（‘XSS’）‘a='.jpg 是个合法的文件名。微软的画图软件就足以创建这个图像，或者你可以复制并重命名现有的图像。Unix 和 Linux 文件系统可能会允许更多的特殊字符，比如管道符号（|）和斜线号。

通过应用的表单上传这个文件，并完成必要的步骤以找出文件鄂弼显示或下载的位置。在显示这个文件或者列出其下载链接的页面中，找出源代码中的文件名。

对于文件被下载的应用，你很可能会找到指向文件在服务器上的位置的链接。如果文件时图像并直接显示在应用中，你应该找到引用这个文件的图像标签。要确保链接或图位置并不是简单地回显示完全相同的文件名。理论上，URL 中会包含 ID 编号而不是实际文件名。或者，文件名中的特殊字符可以通过斜号线或某种编码进行转义处理，简单地回显完全相同的文件名可能会使你的应用容易遭受攻击。

例如，图 5-8 中所显示的基于 Web 的邮件应用通过反斜线将文件名进行转义处理。

讨论

文件上传可能会揭露出一些重要环境的漏洞。其中包括操作系统代码注入，跨站式脚本。SQL 注入或者文件处理的滥用。服务器层次的代码注入不是典型的应用层次安全所关心的事。不过，因为文件提供了一种如此简单的到服务器的路径，所以值得在这里提一下。

代码注入

通常情况下，可以通过相应头来辨别服务器操作系统，正如我们在 3.6 节中所讨论的。特别是在一些 Unix 或 Linux 文件系统重，文件名可以包含特殊字符，比如斜线号、管道符号和引号。例 5-5 中显示了使用 Mac OS X 和与之关联的 HFS 文件系统时的一些不常见和可能存在危险的文件名。相反，如果头信息揭露了应用框架或语言，那么你可以尝试一下这种语言的特殊符号。在上传文件名中包含这些特殊字符的文件时，如果应用不自动地将这些特殊字符转义或者替换掉，那么你的应用就可能存在危险。请对这些特殊字符进行实验——如果你可以让应用崩溃护着表现出不正确的行为，那么进一步的操纵很可能足以充分利用你的服务器或应用。

例 5-5：一些包含特殊字符的文件名

基于 Unix 或 Linux 的服务器的一个普通例子是文件名| 1s -al。如果未经转义或重命名就上传，那么尝试打开这个文件的服务器脚本可能反而会返回该目录的内容（类似于 DOS 中的 dir 命令）。存在要坏的多的攻击，其中包括一些会在文件系统中删除或创建文件的攻击。

对于那些在不允许文件名中出现特殊字符的操作系统（比如 Windows）中进行的测试而言，要记住，即使你无法再磁盘上以特殊字符作为文件名来保存文件，在你上传文件的时候是可以更改文件名。

跨站式脚本。即使代码注入不可能实现，如果文件名没用被正确地转义处理，跨站式脚本将仍然是个潜在的问题。在保存到磁盘之前，所有文件名都需要进行转义处理或编码成 HTML 特殊字符。最好能将整个文件名替换为一个唯一的标识符。

如果将原始的，未经更改的文件名发送到浏览器，那么下面的 HTML 输出可能会由<IMGSRC='' onerrror='alert('XSS')'变成<IMG SRC='' onerrror='alert( 'XSS')' a='jpg'/>。这是非常简单的 JavaScript 注入的一个极好的例子，而 JavaScript 注入是实现跨站式脚本攻击的一种重要方法。

SQL 注入。代码注入攻击的是运行应用的服务器或语言，跨站式脚本的目标是浏览器，而 SQL 注入则集中在恶意访问数据库。如果上传的文件存储在数据库中，而不是作为服务器上的文件，那么你应该测试的领域是 SQL 注入，而不是代码注入。

SQL 注入所需要的最常见的特殊字符是单引号。试着在文件名中添加单引号，看看在文件被保存到数据库时会发生什么。如果你的应用返回错误，那么很可能它容易遭受 SQL 注入攻击。

警告：上传和处理文件这种行为为文件名之外的其他安全问题做好了准备。所有以这种方式上传的文件都是应用的输入，应该像 HTTP 驱动的输入那样进行全面细致的测试。每种文件格式都需要根据这种格式应有的内容进行测试，不过我们可以就与文件内容有关的风险给出一份简要汇总。在将这些文件存储到你的计算机上时，要当心。你可能会引起防病毒软件的古怪行为，冻结你的计算机，或者违反公司政策。要小心！