Cách tiếp cận bảo mật tải lên hình ảnh PHP

Question

Tôi phát triển một tập lệnh php để thay thế tập lệnh hiện tại, sẽ có nhiều tiếp xúc với các thị trường/quốc gia khác nhau. Kịch bản này giữa những người khác cung cấp chức năng tải ảnh lên.

Sau nhiều lần đọc về vấn đề này, tôi đã làm theo cách tiếp cận được mô tả bên dưới. Tôi sẽ đánh giá cao ý kiến ​​của bạn về an ninh của nó.

1. Ảnh được tải lên trong thư mục riêng 777 bên ngoài gốc web.
2. Kiểm tra các tiện ích mở rộng được liệt kê trắng được thực hiện (chỉ cho phép jpg, gifs, png) mọi thứ khác bị xóa.
3. Sử dụng getimagesize để kiểm tra kích thước tối đa và hiệu lực ảnh.
4. Kiểm tra đối sánh mimetype và phần mở rộng tệp.
5. Thay đổi kích thước ảnh đã tải lên thành thứ nguyên std (sử dụng imagecopyresampled).
6. Lưu tệp đã tạo dưới dạng jpg.
7. Xóa tệp gốc.
8. Lưu ảnh bằng tên mới (không phải ngẫu nhiên) tức là img51244.jpg.
9. Di chuyển ảnh mới sang các thư mục con khác của một thư mục công cộng (777 quyền) theo thuật toán không thể dự đoán được. Tức là, img10000.jpg sẽ được lưu trữ tại photos/a/f/0/img10000.jpg trong khi img10001.jpg sẽ được lưu trữ tại photos/0/9/3/img10001.jpg. Điều này được thực hiện vì các lý do khác (sử dụng tên miền phụ cho nội dung tĩnh phân phát hoặc sử dụng CDN).

Tập lệnh sẽ chạy trên máy chủ chuyên dụng của Linux.

Answer 1

Bạn cũng nên kiểm tra kích thước tệp đã tải lên, vì số lần tải xuống đôi khi có thể vượt quá bộ nhớ RAM sẵn có. Nó cũng tốt để giả định rằng kịch bản của bạn có thể sụp đổ bất cứ lúc nào (ví dụ như khi điện đi xuống), vì vậy bạn nên thực hiện một số thủ tục dọn dẹp để loại bỏ các tập tin trái, không cần thiết.

Answer 2

Đó là một cách tiếp cận khá hoàn chỉnh, nhưng tôi không thấy bất kỳ cơ chế ngăn chặn thực thi mã nào.

Bạn nên đảm bảo rằng nội dung của hình ảnh không bao giờ được bao gồm (có bao gồm hoặc yêu cầu cuộc gọi) hoặc được thực hiện thông qua eval().

Nếu không, mã php được bao gồm ở cuối tệp có thể được thực thi.

Bạn cũng có thể thử phát hiện mã php bên trong nội dung hình ảnh (với file_get_contents, và sau đó regex tìm kiếm "<? Php" chẳng hạn) nhưng tôi không thể tìm được cách an toàn 100% để loại bỏ mã đáng ngờ mà không phá hủy một số hình ảnh (hợp lệ).

Answer 3

1. Một thư mục với chmod 0777, theo định nghĩa, công khai cho người dùng khác đăng nhập vào máy chủ của bạn, chứ không phải riêng tư. Các quyền chính xác sẽ là 700 và được sở hữu bởi apache (hoặc bất kỳ người dùng nào mà máy chủ web của bạn chạy). Tôi không chắc chắn lý do tại sao bạn sẽ không sử dụng thư mục tạm thời mặc định của php ở đây, vì nó có xu hướng ở bên ngoài root web.
2. Danh sách trắng là một ý tưởng hay. Hãy cẩn thận để thực hiện đúng. Ví dụ: regexp /.png/ thực sự khớp với apng.php.
3. Bước này là một ý tưởng tuyệt vời. Về cơ bản nó kiểm tra tập tin ma thuật.
4. Không hoàn toàn cần thiết. Trong hai bước trước, chúng tôi đã xác định rằng phần mở rộng và định dạng tệp là chính xác. Nếu bạn yêu cầu loại MIME chính xác được chỉ định bởi máy khách, bạn cũng nên kiểm tra xem loại MIME đã cho và loại MIME đã xác định ở trên có tương đương hay không.

Các bước 5 đến 8 không liên quan đến bảo mật.

Bước 9: Tôi giả định rằng trang web của bạn cho phép mọi người xem mọi ảnh. Nếu đó không phải là trường hợp, bạn nên có một lược đồ URL với URL dài hơn đáng kể (nói, hashsum của hình ảnh).