delete¶

0x01 漏洞描述¶

在读取文件内容文件或文件下载处，未严格限制读取/下载文件的路径及文件后缀，导致可利用../，#等目录操作字符进行目录穿越、截断等手段，从而读取/下载服务器上任意文件，比如配置文件等。

在通过PHP的incluede、require等函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入，主要包括本地文件包含和远程文件包含两种形式。

应用程序在删除文件前，未对所要删除的文件内容、类型、文件名、文件目录做合法性校验，导致可删除服务器上任意文件，比如删除安装目录中锁文件，直接进行重装应用系统。

读取/下载图片、文件内容；下载附件；预览文档；导出文档；修改、保存文档等

比如包含了某个图片、附件、远程URL、从远程获取资源文件等

删除文件、附件、图片、替换、配置等

**文件读取/下载：**如果系统未对读取/下载文件的文件目录做限制，攻击者利用此漏洞可直接读取web目录下任意文件，比如配置文件、数据库文件等，甚至直接获取服务器上任意文件内容。

**文件包含：**攻击者利用此漏洞通过包含含有任意恶意代码的任意格式文件，比如图片文件、log文件等，可直接获取应用系统权限，如果开启了allow_url_fopen/allow_url_include等配置，可直接包含远程任意格式文件。

**文件删除：**攻击者利用此漏洞可直接删除web目录甚至服务器上任意格式文件，直接导致业务系统中断、崩溃。

**配置文件：**在配置文件中限制访问的文件目录，比如PHP中php.ini配置open_basedir
**特殊字符过滤：**检查用户输入，过滤或转义含有“../”、“..\”、“%00”，“..”，“./”，“#”等跳转目录或字符终止符、截断字符的输入
**合法性判断：**严格过滤用户输入字符的合法性，比如文件类型、文件地址、文件内容等
**白名单：**白名单限定访问文件的路径、名称及后缀名