Добрый день.
Долго искал ответ на гугле и яндексе но везде пишут про загрузку картинок и ни слова про другие типы файлов
итак есть сайт на который каждый юзер может загрузить архив zip или rar
как мне обезопасить скрипт. как проверять и на что смотреть.
_____________
Полная Версия: Загрузка на сервер zip и rar архивов
загрузка картинок подразумевает их отображение, что вы собираетесь делать с архивами?
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
их будут скачивать разумеется
_____________
_____________
Если тебя пугает что могут нагадить в фс, то храни файлы в бд xD
bestxp, а чем могут нагадить если файл просто хранится?
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
ну это тебя спросить надо, если ты задался вопросами безопасности.
Я тебе первый вариант привел как обезопасить себя
Я тебе первый вариант привел как обезопасить себя
bestxp, ты уже не первый раз путаешь меня с ТС, может начнешь внимательнее читать кто кому и что пишет?
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
cкорее это я не правильно ответил, отвечал тебе, только что не совсем корректно ответил
мысли смешались в голове, произошло замыкание и
Проблеммы с безопасностью возможны только при не правильной настройке окружения, ну и собственно кода.
А хранение в бд, просто убирает прослойку сохранение в фс, хотя у каждого своя паранойя, а само решение зависит от поставленной задачи. ТС задумался о безопасности , храни в бд, и отдавай напрямую оттуда, проблем меньше. А как нагадить, тут особо не задумывался особо, потенциально те же проблемы что и с изображениями
мысли смешались в голове, произошло замыкание и
Проблеммы с безопасностью возможны только при не правильной настройке окружения, ну и собственно кода.
А хранение в бд, просто убирает прослойку сохранение в фс, хотя у каждого своя паранойя, а само решение зависит от поставленной задачи. ТС задумался о безопасности , храни в бд, и отдавай напрямую оттуда, проблем меньше. А как нагадить, тут особо не задумывался особо, потенциально те же проблемы что и с изображениями
| Цитата (Valick @ 18.03.2013 - 15:14) |
| bestxp, а чем могут нагадить если файл просто хранится? |
ничем, если нет LFI уязвимости
killer8080, так я же спросил, что с файлом делать... принять - отдать, какая тут уязвимость-то?
а если есть дырка Local File Include, то она никак не связана с загрузкой файлов
_____________
Стимулятор ~yoomoney - 41001303250491
а если есть дырка Local File Include, то она никак не связана с загрузкой файлов
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (Valick @ 18.03.2013 - 19:28) |
| а если есть дырка Local File Include, то она никак не связана с загрузкой файлов |
Да не уж то
как раз таки связана напрямую, это самый верный способ залить шел.
killer8080, конкретный "дырявый" оператор назовите
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (Valick @ 18.03.2013 - 20:31) |
| killer8080, конкретный "дырявый" оператор назовите |
дырявых операторов нет, есть дырявые скрипты.
killer8080, я настаиваю на примере давайте скрипт с дыркой
_____________
Стимулятор ~yoomoney - 41001303250491
давайте скрипт с дыркой_____________
Стимулятор ~yoomoney - 41001303250491
Здесь расположена полная версия этой страницы.