Web服務程序解析漏洞原理、利用方式、防范措施

---

一、原理

1. 定義與觸發條件

Web服務程序解析漏洞本質是服務器對文件路徑或后綴名的錯誤處理，導致惡意文件被當作可執行腳本解析。核心觸發條件包括：

• 路徑解析邏輯缺陷（如IIS的目錄解析、Nginx的路徑遞歸解析）。
• 后綴名處理漏洞（如Apache的多后綴解析、黑名單過濾不全）。
• 配置不當（如開啟cgi.fix_pathinfo、錯誤配置AddHandler）。

2. 攻擊鏈流程圖

---

二、利用方式

1. 常見漏洞類型與利用手法

(1) IIS 5.x-6.x解析漏洞

• 目錄解析：
  • 形式：http://example.com/xx.asp/xx.jpg
  • 原理：IIS將.asp目錄下的任意文件解析為ASP腳本，無論實際后綴。
• 分號截斷解析：
  • 形式：http://example.com/xx.asp;.jpg
  • 原理：IIS忽略分號后的內容，僅解析xx.asp部分。
• 高危文件類型：.asa、.cer、.cdx（開發者常忽略過濾這些后綴）。

真實案例：

• CVE-2017-7269：IIS 6.0 WebDAV遠程代碼執行漏洞，攻擊者通過構造特殊路徑觸發緩沖區溢出。

(2) Apache解析漏洞

• 多后綴解析漏洞：
  • 形式：test.php.rar
  • 原理：Apache從右向左解析后綴，若遇到不可識別后綴（如.rar），則繼續向左解析為PHP。
• 配置型漏洞：
  • 錯誤配置：AddHandler php5-script .php會導致test.php.jpg被解析為PHP。
  • 黑名單繞過：開發者未過濾.phtml、.phar等冷門PHP后綴。

真實案例：

• CVE-2020-11984：Apache HTTP Server路徑遍歷漏洞，攻擊者通過惡意路徑繞過安全限制。

(3) Nginx解析漏洞

• 路徑解析漏洞：
  • 形式：http://example.com/web.jpg/backdoor.php
  • 原理：Nginx將路徑中的.php交給PHP解釋器處理，PHP因cgi.fix_pathinfo=1解析上一級文件（web.jpg）。
• 00截斷漏洞：
  • 形式：http://example.com/1.jpg%00.php（Nginx <0.8.3版本）。

真實案例：

• 某云存儲平臺漏洞：攻擊者上傳圖片馬后通過/image.jpg/xxx.php路徑觸發RCE，導致數萬用戶數據泄露。

(4) IIS 7.x解析漏洞

• 形式：http://example.com/image.jpg/.php
• 原理：類似Nginx，因cgi.fix_pathinfo=1且FastCGI配置不當，導致.jpg文件被解析為PHP。

(5) PHP CGI解析漏洞（CVE-2012-1823）

• 形式：http://example.com/index.php?-s
• 原理：PHP CGI未正確處理查詢參數，攻擊者可泄露源碼或執行命令。

---

三、防范模塊

1. 通用防御策略

• 文件上傳校驗：
  • 白名單校驗：僅允許.jpg、.png等靜態文件后綴。
  • 內容檢測：使用exif_imagetype()驗證文件頭，避免偽圖片馬。
• 服務器加固：
  • 關閉cgi.fix_pathinfo（Nginx/IIS）。
  • 限制上傳目錄執行權限（如Apache配置Options -ExecCGI）。

2. 各服務器專項修復方案

IIS 5.x-6.x

<!-- 禁止分號截斷 -->  
<rule name="Block semicolon in URL">  <match url=".*\.asp;.*" />  <action type="AbortRequest" />  
</rule>  

Apache

# 禁止多后綴解析  
<FilesMatch "\.(php.|php3.|phtml.)">  Require all denied  
</FilesMatch>  

Nginx

# 阻止路徑解析漏洞  
location ~* \.php$ {  if ($request_uri ~* ".*\.php/.*") {  return 403;  }  fastcgi_pass unix:/var/run/php-fpm.sock;  include fastcgi_params;  
}  

IIS 7.x

• 關閉FastCGI的“檢查文件存在”選項：

  <fastCgi>  <application fullPath="C:\PHP\php-cgi.exe" arguments="-c C:\PHP\php.ini" activityTimeout="600" requestTimeout="600" instanceMaxRequests="10000">  <environmentVariables>  <environmentVariable name="PHP_FCGI_MAX_REQUESTS" value="10000" />  </environmentVariables>  </application>  
  </fastCgi>  
  

3. 安全開發

• 避免動態路徑拼接：

  // 錯誤示例  
  $file = $_GET['file'];  
  include("/uploads/" . $file);  // 正確示例  
  $allowed_files = ["image1.jpg", "image2.png"];  
  if (in_array($_GET['file'], $allowed_files)) {  include("/uploads/" . $_GET['file']);  
  }  
  

• 使用現代框架：如Spring Boot（自動過濾危險路徑）、Laravel（強制白名單上傳）。

---

四、結語與拓展

漏洞本質

解析漏洞的核心是**“信任用戶輸入”與“邏輯/配置缺陷”**的結合。攻擊者通過構造特殊路徑或后綴，繞過服務器的預期行為。

漏洞自查清單

1. 是否開啟cgi.fix_pathinfo？
2. 上傳功能是否使用白名單校驗？
3. 關鍵目錄（如/uploads）是否禁止腳本執行？
4. 是否定期更新Web服務程序版本？

思考題

• 為什么Nginx的路徑解析漏洞依賴cgi.fix_pathinfo？
  （提示：該配置允許PHP解釋器在找不到文件時回溯路徑，導致非預期解析。）

---

參考資源

1. CVE數據庫：https://cve.mitre.org/（查詢最新漏洞詳情）
2. OWASP文件上傳指南：https://cheatsheetseries.owasp.org/
3. Apache安全配置手冊：https://httpd.apache.org/docs/2.4/misc/security_tips.html
4. Nginx官方文檔：https://nginx.org/en/docs/