所谓的“PHP任意文件上传漏洞”的驳斥与国内安全娱乐圈之我见

  • A+
所属分类:安全闲碎

前几天微博、各大媒体上突然冒出来一个“PHP任意文件上传漏洞(CVE-2015-2348)”,打开看过之后发现,确实是前段时间出来的一个漏洞。这篇文章由信息安全界“知名”媒体Freebuf首先出来炒,之后360也不甘示弱,腾讯紧跟其后,炒的不亦乐乎。

这大概是很多不明真相的同学们眼中的CVE-2015-2348。

我是一个礼拜前,在php官网新发布的changelog看到这个漏洞的,并且漏洞原理比较简单,影响也不大,所以记在笔记上作为tip(有些tips我是会放到以后ctf题目中的,这个我当时的想法也一样)。

大概在国内媒体开炒一天前,twitter上有歪果仁转发了这个漏洞的链接。

国内微博上,有同学也开始转发漏洞链接。

随后,Freebuf就发出这篇《PHP任意文件上传漏洞(CVE-2015-2348)》。

然后就一发不可收拾,各个群、各个小圈子开始讨论这个漏洞,不明真相的人在跟风,娱乐圈人士在想怎么炒作,明智的人在吐槽无良媒体。还有一群苦逼的安全公司员工,不得不加班到深夜,被领导美其名曰应急响应。

为什么没有人分析漏洞呢??

因为漏洞太简单,根本不用怎么分析呀!

从技术上分析,这个漏洞实际上就是:在php某些较新版本(鸡肋之一)中的move_upload_file函数第二个参数可以被x00截断。而php中,在用户可以控制的变量里,只有$_GET/$_POST/$_COOKIE/$_REQUEST是可以包含x00的。但通常上传使用的变量$_FILES[xxx][name]是不能包含x00的。

这就是这个洞的鸡肋之二。

而且如果我们能够控制move_upload_file函数的第二个参数了,实际上能够在很多特定环境下上传任意文件,所以这个CVE只能算是其中一个环境的一种情况,更类似与一个tip。

简单易懂的漏洞通常有个特征:非常适合媒体炒作。你何时见过有媒体去炒作PHP Use After Free?

因为大部分媒体没能力炒作,或者说炒作成本太高,大众接受能力太低。

我不知道“PHP任意文件上传漏洞”这个名字是怎么出来的,但我看到就觉得这是FREEBUF的一大败笔。那我想说,来来来,我博客是PHP写的,你给我传一个任意文件看看??

我并不想对这个漏洞有什么太多的评价,但当今安全圈子浮躁的氛围是我眼中最可怕的事情。我从这件事中可以看到国内所谓安全圈的几个问题:

1.跟风现象极为严重,很多微博实际都是从推特中复制粘贴来的。

2.一旦发现有“简单的”、“看似影响大的”漏洞,就会大肆宣扬,不断炒作。

3.安全媒体互相攀比,一家媒体炒起来,另外几家就会争先报道,生怕落后。

4.做媒体的多,做研究的少。

在当今安全环境下,我们只能做到自保,自保不被媒体带入娱乐圈。安心下来研究点东西,是国人最缺少的素质。这一点,我觉得做二进制的一圈人应该是web党的榜样。

他们真正静下心做出了研究成果。我并不觉得在二进制面前web有什么卑微的,但我觉得是众多做web的小黑客、脚本小子、跟风媒体将圈子的研究氛围破坏了,web的地位也是被带的越来越低。谁让web入门简单、国内网站漏洞多、所谓白帽子年龄越来越小呢?

与其说是部分人作祟,不如说是不成熟的心理影响了整个圈子的发展。

本文始发于微信公众号(代码审计):所谓的“PHP任意文件上传漏洞”的驳斥与国内安全娱乐圈之我见

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: