全国咨询热线:136-9172-9932
文件上传下载测试包括两方面内容:一是文件上传;二是文件下载。文件上传主要是测试系统 是否对从客户端提交的上传文件进行约束,不能让用户在客户端随意提交任何文件。文件下载主要是测试在下载时是否存在跨越目录、越权的情况。
(1)文件上传测试。 现在很多网站都提供文件上传功能,如果在服务器端没有对上传文件的类型、大小、保存的路 径及文件名进行严格限制,攻击者就很容易上传后门程序取得 WebShell,从而控制服务器。测试 步骤如下: 步骤 1:登录网站,并打开文件上传页面。 步骤 2:单击“浏览”按钮,并选择本地的一个 JSP 文件(如 test.jsp),确认上传。 步骤 3:如果客户端脚本限制了上传文件的类型(如允许gif 文件),则把 test.jsp 更名为 test.gif; 配置 HTTP Proxy使用 WebScarab工具对 HTTP进行请求拦截;重新单击“浏览”按钮,并选择test.gif, 确认上传。 步骤 4:在 WebScarab 拦截的 HTTP 请求数据中,将 test.gif 修改为 test.jsp,再发送请求数据。 步骤 5:登录后台服务器,用命令 find/-name test.jsp 查看 test.jsp 文件存放的路径。如果可以直 接以 Web 方式访问,则构造访问的 URL,并通过浏览器访问 test.jsp,如果可以正常访问,则已经 取得 WebShell,测试结束。如果无法访问,例如 test.jsp 存放在/home/tomcat/目录下,而/home/ tomcat/webapps 目录对应 http://www.example.com/,则进行下一步操作。 步骤 6:重复步骤 1~3,在 WebScarab 拦截的 HTTP 请求数据中,将 test.gif 修改为 test.jsp, 再发送请求数据。 步骤 7:在浏览器地址栏中输入 http://www.example.com/test.jsp,访问该后门程序,取得 WebShell,结束测试。 预期结果:服务器端对上传文件的类型、大小、保存的路径及文件名进行严格限制,确保无法 上传后门程序。
(2)文件下载测试。 现在很多网站提供文件下载功能,如果网站对用户下载文件的权限控制不严,攻击者就很容易 利用目录跨越、越权下载,下载一些权限外的资料(比如其他用户的私有、敏感文件)。 如某下载页面 URL(假设该页面是某用户的个人信息,对应的 URL 为http://192.168.1.9/ download/userid001/info.xls),测试时可以猜测并更改 URL 路径,对 URL 进行访问: http://192.168.1.9/download/userid001/info.xls http://192.168.1.9/download/userid002/info.xls http://192.168.1.9/admin/report.xls …… 观察页面返回信息,如果可以越权获取到其他用户的私有、敏感文件,则说明存在漏洞。 而一些网站接受类似于文件名的参数用于下载或显示文件内容,如果服务器未对这种情况进行 严格判断,攻击者同样可以通过修改这个参数值来下载、读取任意文件,比如/etc/password 文件。 测试时可以更改 URL 对其进行测试。 http://www.exmaple.com/viewfile.do?filename=../etc/passwdhttp://www.exmaple.com/viewfile.do?filename=../../etc/passwd …… 对于 UNIX/Linux 服务器可以尝试下载/etc/passwd 文件,对于 Windows 服务器可以尝试下载 c:\boot.ini 文件。 观察页面返回信息,如果可以下载/etc/passwd 或 c:\boot.ini 文件的信息,说明下载文件有漏洞
