文件操作防护

1、文件上传漏洞

        在互联网中，我们经常用到文件上传功能，比如上传一张自定义的图片；分享一段视频或者照片；论坛发帖时附带一个附件；在发送邮件时附带附件，等等。

        文件上传功能本身是一个正常业务需求，对于网站来说，很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题，但有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

        文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，有时候几乎没有什么技术门槛。

文件上传后导致的常见安全问题一般有：

• 上传文件是Web脚本语言，服务器的Web容器解释并执行了用户上传的脚本，导致代码执行；
• 上传文件是病毒、木马文件，黑客用以诱骗用户或者管理员下载执行；
• 上传文件是钓鱼图片或为包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈。

在大多数情况下，文件上传漏洞一般都是指“上传Web脚本能够被服务器解析”的问题，也就是通常所说的web shell的问题。要完成这个攻击，要满足如下几个

条件 ：

        首先，上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。

        其次，用户能够从Web上访问这个文件。如果文件上传了，但用户无法通过Web访问，或者无法使得Web容器解释这个脚本，那么不能称之为漏洞。

        最后，用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容，则也可能导致攻击不成功。

解决方案：

1. 检查上传文件扩展名白名单，不属于白名单内，不允许上传。
2. 上传文件的目录必须是 http 请求无法直接访问到的。如果需要访问的，必须上传到其他（和 web 服务器不同的）域名下，并设置该目录为不可执行目录。
3. 上传文件要保存的文件名和目录名由系统根据时间生成，不允许用户自定义。
4. 图片上传，要通过处理（缩略图、水印等），无异常后才能保存到服务器。
5. 上传文件需要做日志记录。

2、文件下载和目录浏览漏洞

        是属于程序设计和编码上的不严谨导致的，良好的设计应该是：不允许用户提交任意文件路径进行下载，而是用户单击下载按钮默认传递ID到后台程序。

        文件下载和目录浏览漏洞：File download and Directory traversal，任意文件下载攻击和目录遍历攻击。

        处理用户请求下载文件时，允许用户提交任意文件路径，并把服务器上对应的文件直接发送给用户，这将造成任意文件下载威胁。如果让用户提交文件目录地址，就把目录下的文件列表发给用户，会造成目录遍历安全威胁。

        恶意用户会变换目录或文件地址，下载服务器上的敏感文件、数据库链接配置文件、网站源代码等。

处理用户请求的代码：

String path = request.getParameter("path");
    OutputStream os = response.getOutputStream();
    FileInputStream fis = new FileInputStream(path);
    byte[] buff = new byte[1024];
    int i = 0;
while((i=fis.read(buff))>0){
        os.write(buff,0,i);
        }
        fis.close();
        os.flush();
        os.close();  

防护方案：

1. 要下载的文件地址保存至数据库中。
2. 文件路径保存至数据库，让用户提交文件对应 ID 下载文件。
3. 下载文件之前做权限判断。
4. 文件放在 web 无法直接访问的目录下。
5. 记录文件下载日志。
6. 不允许提供目录遍历服务。

Nginx 中默认不会开启目录浏览功能，若您发现当前已开启该功能，可以编辑nginx.conf文件，删除如下两行：

autoindex on;
autoindex_exact_size on

然后重启Nginx。