ADS帶來的WEB安全問題并不是什么新鮮事了，幾個月前偶然的原因和好友Rstar一起系統(tǒng)地做了很多測試，Rstar前段時間已經在PKAV和Wooyun上公開過，我把當時寫的paper也發(fā)出來吧，希望能有更多的***場景被發(fā)掘。一個下午趕出來的paper，部分語句還有問題，之后一直沒時間改了，將就看吧 ，slide因為涉及公司內容就暫時不放出來了：）



NTFS ADS帶來的WEB安全問題

Author：Rstar && pysolve



NTFS ADS簡介

NTFS流全稱為NTFS交換數(shù)據(jù)流（NTFS Alternate Data Streams），ADS的誕生是為了兼容Hierarchical File System 。HFS—分層文件系統(tǒng)，是由蘋果公司推出的文件系統(tǒng)，其工作模式是將不同數(shù)據(jù)存在不同的分支文件，文件數(shù)據(jù)存放在數(shù)據(jù)分支而文件參數(shù)存放在資源分支。類似的，NTFS流使用資源派生來維持與宿主文件相關的信息。ADS有點類似文件的屬性信息一樣，依附于文件的傳統(tǒng)邊界之外。

來看一個ADS的實例，通常這個例子在講到ADS的地方都會提到。新建一個文件，命名為test.txt，該文件即是宿主文件；打開文件，輸入內容”test”。在該目錄下執(zhí)行命令 echo ”This is astream” > test.txt:stream.txt 建立后cmd不會有任何提示且對于Windows資源管理器來說宿主文件沒有發(fā)生任何變化（包括其大小、修改時間等）。這是因為windows下不是所有程序都能支持ADS導致的。同樣dir、type等也不能看到。Notepad能夠部分支持ADS，可以打開test.txt:stream.txt，但notepad也不能完全支持，另存為時會出現(xiàn)參數(shù)錯誤。

注：

1、修改宿主文件的內容不會影響流的內容。

2、修改流的內容不會影響宿主文件的內容。

MSDN上給出了一個完整的流的格式，如下：::

filename          宿主文件的文件名

stream  name   流名

stream  type     流類型

創(chuàng)新互聯(lián)公司-成都網(wǎng)站建設公司，專注成都做網(wǎng)站、網(wǎng)站建設、網(wǎng)站營銷推廣，域名申請，網(wǎng)站空間，網(wǎng)站托管運營有關企業(yè)網(wǎng)站制作方案、改版、費用等問題，請聯(lián)系創(chuàng)新互聯(lián)公司。