חזרה לפורום בניית אתרים
ראשי
פורום בניית אתרים אשכול 10466

asco88 12.03.1212:58

אם אני מאפשר העלאת קבצים לאתר שלי, חייבים לבדוק חוקיות?

כלומר, כרגע האתר שלי מאפשר העלאת תמונות וקבצי DOC וPDF, אבל אני רוצה לאפשר גם ZIP וכדו'.
אני חייב לבדוק שלא מעלים קבצים לא חוקיים?, או שמספיק שאני כותב בתקנון, שאסור?
תודה.
dvir8 12.03.1213:47
1. לא יודע לגבי חוק..אבל אתה יכול לבדוק מה יש בתוך ה ZIP בתגובה להודעה מספר 0
לחלץ אותו בשרת ולבדוק אם קיים EXE או כל קובץ אחר שלא לטעמך ולמחוק את הקובץ מהשרת.

אם הזיפ מכיל תמונות ומסמכים אז זה בסדר.
asco88 12.03.1216:50
2. כמובן, השאלה היא האם לעשות את זה? בתגובה להודעה מספר 1
יש עניין באמת לעבור על כל הקבצים ולבדוק אותם? או שרק קבצים חשודים או משהו כזה?
לא ברור לי העסק הזה כ"כ..
CaTz 14.03.1211:59
3. ברור לבדוק?! בתגובה להודעה מספר 2
מבחינת אבטחת מידע, אתה משאיר את הדלת פתוחה, כל מי שרוצה יכול לעלות קובץ,
נניח PHP, ואז לקבל גישה מלאה לשרת שלך!
asco88 14.03.1212:18
4. נכון, אבל אם אני לא מאפשר העלאת קבצי PHP בתגובה להודעה מספר 3
איפשרתי קיבצי ZIP ו RAR, אין אפשרות לערוך קבצים או שמות קבצים על השרת, אין אפשרות לחלץ קבצים על השרת.

עכשיו השאלה, אם מישהו העלה עכשיו למשל dexter.s04e01.zip אני חייב למחוק את זה? והאם אני בכלל חייב לבדוק שמישהו העלה קובץ כזה?

תודה
dvir8 16.03.1218:49
5. אני מניח שכן, כי אם זה ניתן לשיתוף אז אתה הופך להיות בתגובה להודעה מספר 4
RapidShare וכד'.

וכמו ששמת לב האתרים האלה נתבעו...
asco88 18.03.1200:13
6. צודק. בתגובה להודעה מספר 5
afroman50 18.03.1218:30
7. יש דרכים להשתיל SHELL גם בלי PHP ישיר... בתגובה להודעה מספר 4
asco88 18.03.1218:59
8. וואלה? אני אשמח ללמוד קצת.. בתגובה להודעה מספר 7
יש לזה איזה שם לנושא?
תודה
CaTz 18.03.1221:33
9. אם האפליקציה על השרת שלך בתגובה להודעה מספר 8
חשופה למשהו שנקרא LFI, Local file inclusion
אז אפשרי לעלות כל קובץ עם כל סיומת! ולטעון את הSHELL מהם..!

http://en.wikipedia.org/wiki/Remote?...
אותו הרעיון, אבל לדעתי LFI נפוץ יותר
asco88 18.03.1223:51
10. נראה מסוכן, אבל לא הצלחתי להבין איך למנוע את זה בתגובה להודעה מספר 9
כתוב שזה עושה שימוש בGET, POST, COOKIE אז מה נשאר?
הרי REQUEST כבר ירד מהפרק.

האמת שSESSION לא הוזכר, הוא יותר בטוח?

אני מניח שמדובר בדרך לאמת את המשתנה, שאכן הוא המשתנה שאני הגדרתי, ושהוא לא הושתל, אבל לא מצאתי איך עושים את זה...

תודה רבה
afroman50 19.03.1200:39
11. האמת היא... בתגובה להודעה מספר 10
אני אתן לך דוגמה לסנריו
אתה מעלה את האתר שלך שנגיד פגיע לSQLI, מישהו הצליח מצא את השם משתמש שלך ואת הסיסמא בMD5, עושה קצת בדיקות מגלה את הMD5, עכשיו הוא מאתר את העמוד אדמין שמוביל לפאנל שלך, מצליח להיכנס, עכשיו הוא רוצה בעזרת ההרשאות שיש לו לגנוב לך מידע או להפיל לך את האתר או להעלות תולעת שתעשה CRAWL לכל המחשבים בשרת... כל דבר אפשרי
אבל הוא יכול להעלות נגיד רק JPG כי אלו ההרשאות, ישנה דרך להעלות JPG מזויף שנותן לך SHELL להעלות קבצים מכל סוג, בעזרת זה אתה מעלה SHELL שבנית או שיש לך ומקבל שליטה מלאה באתר ובשרת אפילו.

זו נגיד דרך אחת שיצא לי להתנסות בה (עד שלב מסוים) שעובדת
asco88 19.03.1213:05
12. אז איך אני מונע מניפולציות עם קבצים מזויפים כאלה? בתגובה להודעה מספר 11
הרי ברגע שנניח הועלה JPG אפשר רק לקרוא אותו, לא יותר.
אז בעצם החור יהיה ברגע שאפשר בתור אדמין לערוך שמות קבצים? כי אז זה מובן שזה חתיכת חור, אבל אם אני מעוניין באופציה כזאת, מה אני יכול לעשות כדי שלא יהיה ניתן להריץ קבצים כאלה, נראה לי שכלום בתאכלס, כי ברגע שהקובץ כבר שם, ולכל אחד יש הרשאה לקרוא אותו...
טוב התבלבלתי קצת חח.. אבל זה נתן לי כמה רעיונות מעניינים.
תודה
afroman50 19.03.1214:32
13. אין בעיה, אין דרך שאני מכיר למנוע אותו אבל למנוע את הSQLI זה טוב. בתגובה להודעה מספר 12
העבר לפורום אחר
העבר לפורום:
סיבה:
תגובה חדשה
כותרת:
תוכן:
סמיילים:
הצג
עריכת אשכול
כותרת:
תוכן:
סמיילים:
הצג