אם אני מאפשר העלאת קבצים לאתר שלי, חייבים לבדוק חוקיות?
כלומר, כרגע האתר שלי מאפשר העלאת תמונות וקבצי DOC וPDF, אבל אני רוצה לאפשר גם ZIP וכדו'. אני חייב לבדוק שלא מעלים קבצים לא חוקיים?, או שמספיק שאני כותב בתקנון, שאסור? תודה.
אני אתן לך דוגמה לסנריו אתה מעלה את האתר שלך שנגיד פגיע לSQLI, מישהו הצליח מצא את השם משתמש שלך ואת הסיסמא בMD5, עושה קצת בדיקות מגלה את הMD5, עכשיו הוא מאתר את העמוד אדמין שמוביל לפאנל שלך, מצליח להיכנס, עכשיו הוא רוצה בעזרת ההרשאות שיש לו לגנוב לך מידע או להפיל לך את האתר או להעלות תולעת שתעשה CRAWL לכל המחשבים בשרת... כל דבר אפשרי אבל הוא יכול להעלות נגיד רק JPG כי אלו ההרשאות, ישנה דרך להעלות JPG מזויף שנותן לך SHELL להעלות קבצים מכל סוג, בעזרת זה אתה מעלה SHELL שבנית או שיש לך ומקבל שליטה מלאה באתר ובשרת אפילו.
זו נגיד דרך אחת שיצא לי להתנסות בה (עד שלב מסוים) שעובדת
הרי ברגע שנניח הועלה JPG אפשר רק לקרוא אותו, לא יותר. אז בעצם החור יהיה ברגע שאפשר בתור אדמין לערוך שמות קבצים? כי אז זה מובן שזה חתיכת חור, אבל אם אני מעוניין באופציה כזאת, מה אני יכול לעשות כדי שלא יהיה ניתן להריץ קבצים כאלה, נראה לי שכלום בתאכלס, כי ברגע שהקובץ כבר שם, ולכל אחד יש הרשאה לקרוא אותו... טוב התבלבלתי קצת חח.. אבל זה נתן לי כמה רעיונות מעניינים. תודה