FUSE：23个Web应用中的30个文件上传漏洞

通过使用一个自动化测试工具包，来自韩国的安全研究人员发现了23个Web应用（论坛、CMS等）所涉及的文件上传机制中的30个漏洞。

这些真实Web应用中的上传漏洞可帮助黑客通过文件上传功能将恶意文件植入受害者的服务器中。

这些恶意文件可以在目标网站上执行系统命令，窃取敏感信息，影响现有的安全设置，充当后门，让黑客完全控制服务器。

测试工具

所有的文件上传漏洞都是通过FUSE发现的，FUSE是一种新型自动渗透测试工具，用于发现PHP应用程序中的UFU（不受限制的文件上传）和UEFU（不受限制的可执行文件上传）漏洞。

研究团队表示，在编写FUSE之前，他们分析了过去的文件上传漏洞，并确定了8种最常见的利用模式和技术。

FUSE由这八种模式以及研究团队新设计的五种变体组成（见下表中的M5、M7、M9、M10和M13）。

在他们编写完FUSE之后，研究团队选择了33个最流行的Web应用程序，包括各种论坛、CMS、企业产品和电子商店。

该研究团队由来自韩国先进科技学院（KAIST）和电子与电信研究所（ETRI）的学者组成，他们表示是在2019年2月左右利用FUSE对最新的Web应用进行测试的。

通过一系列自动请求，测试软件会试图将各种类型的恶意文件（PHP、JS、HTML、XHTML、htaccess）植入被测试的Web应用中。

KAIST和ETRI的研究人员表示，测试发现了30个文件上传漏洞，影响了他们所测试的33个Web应用中的23个。

并不是所有的漏洞都被修复了

由于测试是在2019年2月进行的，所以表格中可能包含已不是最新版本的的网络应用。不过研究人员表示，并非所有Web项目都修补了他们发现的漏洞，而且上面黄色高亮显示的一些项目可能仍然包含一个或多个文件上传漏洞。

“我们向相应的供应商报告了所有30个UEFU漏洞，并从9个Web应用中获得了15个CVE。”

目前5个供应商的8个漏洞已经被修补，还有5个漏洞所涉及的包括WordPress在内的4个供应商表示他们将立刻解决报告中的漏洞。

还有15个漏洞正在等待相应供应商的确认，两家供应商拒绝修补报告中的漏洞。

研究者还解释为什么有些供应商没有立刻提供补丁——或者完全拒绝提供补丁——因为30个漏洞中的14个需要管理员权限才能利用。很多网络项目并不认为这是风险，拥有管理员权限的黑客是可以“合法”地接管服务器。

尽管KAIST和ETRI的研究人员列出了包含漏洞的Web应用，但他们并没有列出哪些应用已打了补丁，哪些没有——这是为了防止攻击者针对那些尚未发布补丁的Web应用进行攻击。

如果你想知道更多的技术细节，可以查看研究小组的白皮书FUSE: Finding File Upload Bugs via Penetration Testing，你可以从这里和这里下载相关文件。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/academics-find-30-file-upload-vulnerabilities-in-23-web-apps-cmses-and-forums/