php 上传excel时,excel mime-type类型为application/octet-stream,无法通过验证
问题
在某个客户的电脑上上传excel时,mime-type类型为application/octet-stream 无法通过后台验证,但在我们的电脑上可以
交互流程
用户使用wps创建文件保存格式,每个不同的文件都拥有不同的mime-type,而此时mime-type为application/octet-stream ->用户上传excel->浏览器获取文件mime-type 并在请求体中传递Content-Type: 浏览器获取的mime-type->传递到服务器并验证文件的mime-type->不通过,返回错误给前端![]()
猜测原因
1.可能wps的某个版本将excel的mime-type类型保存为application/octet-stream 或者其他类型,当浏览器遇到无法识别的类型时,也默认为application/octet-stream,而在我们的电脑上,wps版本较新,保存的文件mime-type为 application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
2.我们在后台验证mime-type的合法性时,一般都会这样验证:
'application/vnd.ms-excel',
'application/vnd.ms-excel',
'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet',
3.而thinkphp5在获取上传文件时,检测上传文件的type 是根据浏览器传递过来的,这样就会造成一些问题,所以验证无法通过,也可能是更严重的 文件上传漏洞
参考链接:MIME
上传文件mime类型伪造测试(文件上传漏洞)
工具: fiddler
代码:
<?php
$allowExcelMimeType = [
'application/vnd.ms-excel',
'application/vnd.ms-excel',
'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet',
];
$allowExcelExt = [
'xls', 'xlsx',
];
$fileInfo = $_FILES['fieldNameHere'];
$pos = mb_strripos($fileInfo['name'], '.', 0, 'utf8');
$ext = mb_substr($fileInfo['name'], $pos + 1);
$destination = md5(time()) . '.' . $ext;
move_uploaded_file($fileInfo['tmp_name'], $destination);
var_dump($fileInfo);
$mimeType = mime_content_type($destination);
echo '文件类型:'.$mimeType.PHP_EOL;
if (!in_array($ext, $allowExcelExt, true) || !in_array($fileInfo['type'], $allowExcelMimeType, true)) {
echo '非法的文件类型:'.$mimeType.PHP_EOL;
exit();
}
echo '上传成功';
excel正常上传返回数据:
D:\3_tools\wamp\www\test-some\16.upload.php:22:
array (size=5)
'name' => string 'test.xlsx' (length=9)
'type' => string 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet' (length=65)
'tmp_name' => string 'D:\3_tools\wamp\tmp\php6F55.tmp' (length=31)
'error' => int 0
'size' => int 17300
文件类型:application/octet-stream 上传成功
excel 文件伪造mime-type:![]()
D:\3_tools\wamp\www\test-some\16.upload.php:22:
array (size=5)
'name' => string 'test.xlsx' (length=9)
'type' => string 'application/so-cool' (length=19)
'tmp_name' => string 'D:\3_tools\wamp\tmp\php2008.tmp' (length=31)
'error' => int 0
'size' => int 17300
文件类型:application/octet-stream 非法的文件类型:application/octet-stream
伪造php文件mime-type,创建一个php文件,将后缀改为xlsx![]()
D:\3_tools\wamp\www\test-some\16.upload.php:22:
array (size=5)
'name' => string 'test.php.xlsx' (length=13)
'type' => string 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet' (length=65)
'tmp_name' => string 'D:\3_tools\wamp\tmp\php133E.tmp' (length=31)
'error' => int 0
'size' => int 17
文件类型:text/x-php 上传成功
总结
利用这个漏洞,我们可以跳过一些检测不严格的文件上传,上传一些不好的代码带服务器并执行
解决方案
在php中有获取文件mime-type的函数 finfo 和 mime_content_type
问题及拓展
1.文件的类型的二进制约定方式(查找RFC)
2.浏览器怎么获取文件的mimet-type
参考
阮一峰-mime-type
mime-type
文件上传
浏览器获取mime-type
推荐阅读
ERROR: Please install mysql2 package manually
ERROR: Please install mysql2 package manually当安装和使用sequelize 出现这个问题时1.可能没有安装mysql2 包解决方法: yarn add mysql2 2.可能是webpack无法识别解决方法: yarn add webpack-node-externals 在...
tumi阅读 3k
怎样用 PHP 来实现枚举?
在数学和计算机科学理论中,一个集的枚举是列出某些有穷序列集的所有成员的程序,或者是一种特定类型对象的计数。这两种类型经常(但不总是)重叠。枚举是一个被命名的整型常数的集合,枚举在日常生活中很常见,...
唯一丶赞 25阅读 6.4k评论 4
PHP转Go实践:xjson解析神器「开源工具集」
我和劲仔都是PHP转Go,身边越来越多做PHP的朋友也逐渐在用Go进行重构,重构过程中,会发现php的json解析操作(系列化与反序列化)是真的香,弱类型语言的各种隐式类型转换,很大程度的减低了程序的复杂度。
王中阳Go赞 10阅读 2.1k评论 3
图片防盗链破解 解决图片防盗链问题 反向代理
当客户端(浏览器)向服务器请求内容的时候,会提交一个header,这个header中包含了如:浏览器信息、cookie等内容,那么有一个叫referer的东东,也包含在这里面。
TANKING赞 7阅读 11.3k评论 5
Git操作不规范,战友提刀来相见!
年终奖都没了,还要扣我绩效,门都没有,哈哈。这波骚Git操作我也是第一次用,担心闪了腰,所以不仅做了备份,也做了笔记,分享给大家。问题描述小A和我在同时开发一个功能模块,他在优化之前的代码逻辑,我在开...
王中阳Go赞 5阅读 2.3k评论 2
Hyperf 3.0 发布,PHP 新时代
在过去的一年半时间里,Hyperf 2.2 共发布了 35 个小版本,使 Hyperf 达到了一个前所未有的高度,这里也获得了一些不错的数据反馈。
huangzhhui赞 4阅读 1.1k评论 1
微信公众号开发:自动回复文本/图片/图文消息/关键词回复/上传素材/自定义菜单
对接流程1、申请微信公众号测试账号URL:[链接]2、登录,配置开发者服务器URL和Token开发者服务器配置代码:config.php {代码...} URL是config.php在你服务器的URLToken是上面代码自己设置的Token搞定之后,就能完...
TANKING赞 2阅读 10.1k
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。