ABA


"אם אני מאפשר העלאת קבצים לאתר שלי, חייבים לבדוק חוקיות?"
גירסת הדפסה        
קבוצות דיון בניית אתרים נושא #10466 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 10466
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   12:58   12.03.12   
אל הפורום  
  אם אני מאפשר העלאת קבצים לאתר שלי, חייבים לבדוק חוקיות?  
 
כלומר, כרגע האתר שלי מאפשר העלאת תמונות וקבצי DOC וPDF, אבל אני רוצה לאפשר גם ZIP וכדו'.
אני חייב לבדוק שלא מעלים קבצים לא חוקיים?, או שמספיק שאני כותב בתקנון, שאסור?
תודה.


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  לא יודע לגבי חוק..אבל אתה יכול לבדוק מה יש בתוך ה ZIP dvir8 12.03.12 13:47 1
     כמובן, השאלה היא האם לעשות את זה? asco88  12.03.12 16:50 2
         ברור לבדוק?! CaTz 14.03.12 11:59 3
             נכון, אבל אם אני לא מאפשר העלאת קבצי PHP asco88  14.03.12 12:18 4
                 אני מניח שכן, כי אם זה ניתן לשיתוף אז אתה הופך להיות dvir8 16.03.12 18:49 5
                     צודק. asco88  18.03.12 00:13 6
                 יש דרכים להשתיל SHELL גם בלי PHP ישיר... afroman50 18.03.12 18:30 7
                     וואלה? אני אשמח ללמוד קצת.. asco88  18.03.12 18:59 8
                         אם האפליקציה על השרת שלך CaTz 18.03.12 21:33 9
                             נראה מסוכן, אבל לא הצלחתי להבין איך למנוע את זה asco88  18.03.12 23:51 10
                                 האמת היא... afroman50 19.03.12 00:39 11
                                     אז איך אני מונע מניפולציות עם קבצים מזויפים כאלה? asco88  19.03.12 13:05 12
                                         אין בעיה, אין דרך שאני מכיר למנוע אותו אבל למנוע את הSQLI זה טוב. afroman50 19.03.12 14:32 13

       
dvir8
חבר מתאריך 13.5.02
5929 הודעות
   13:47   12.03.12   
אל הפורום  
  1. לא יודע לגבי חוק..אבל אתה יכול לבדוק מה יש בתוך ה ZIP  
בתגובה להודעה מספר 0
 
   לחלץ אותו בשרת ולבדוק אם קיים EXE או כל קובץ אחר שלא לטעמך ולמחוק את הקובץ מהשרת.

אם הזיפ מכיל תמונות ומסמכים אז זה בסדר.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   16:50   12.03.12   
אל הפורום  
  2. כמובן, השאלה היא האם לעשות את זה?  
בתגובה להודעה מספר 1
 
יש עניין באמת לעבור על כל הקבצים ולבדוק אותם? או שרק קבצים חשודים או משהו כזה?
לא ברור לי העסק הזה כ"כ..


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות
   11:59   14.03.12   
אל הפורום  
  3. ברור לבדוק?!  
בתגובה להודעה מספר 2
 
   מבחינת אבטחת מידע, אתה משאיר את הדלת פתוחה, כל מי שרוצה יכול לעלות קובץ,
נניח PHP, ואז לקבל גישה מלאה לשרת שלך!


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   12:18   14.03.12   
אל הפורום  
  4. נכון, אבל אם אני לא מאפשר העלאת קבצי PHP  
בתגובה להודעה מספר 3
 
איפשרתי קיבצי ZIP ו RAR, אין אפשרות לערוך קבצים או שמות קבצים על השרת, אין אפשרות לחלץ קבצים על השרת.

עכשיו השאלה, אם מישהו העלה עכשיו למשל dexter.s04e01.zip אני חייב למחוק את זה? והאם אני בכלל חייב לבדוק שמישהו העלה קובץ כזה?

תודה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
dvir8
חבר מתאריך 13.5.02
5929 הודעות
   18:49   16.03.12   
אל הפורום  
  5. אני מניח שכן, כי אם זה ניתן לשיתוף אז אתה הופך להיות  
בתגובה להודעה מספר 4
 
   RapidShare וכד'.

וכמו ששמת לב האתרים האלה נתבעו...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   00:13   18.03.12   
אל הפורום  
  6. צודק.  
בתגובה להודעה מספר 5
 


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
afroman50
חבר מתאריך 16.8.04
12555 הודעות, 1 פידבק
   18:30   18.03.12   
אל הפורום  
  7. יש דרכים להשתיל SHELL גם בלי PHP ישיר...  
בתגובה להודעה מספר 4
 


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   18:59   18.03.12   
אל הפורום  
  8. וואלה? אני אשמח ללמוד קצת..  
בתגובה להודעה מספר 7
 
יש לזה איזה שם לנושא?
תודה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות
   21:33   18.03.12   
אל הפורום  
  9. אם האפליקציה על השרת שלך  
בתגובה להודעה מספר 8
 
   חשופה למשהו שנקרא LFI, Local file inclusion
אז אפשרי לעלות כל קובץ עם כל סיומת! ולטעון את הSHELL מהם..!

http://en.wikipedia.org/wiki/Remote_file_inclusion
אותו הרעיון, אבל לדעתי LFI נפוץ יותר


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   23:51   18.03.12   
אל הפורום  
  10. נראה מסוכן, אבל לא הצלחתי להבין איך למנוע את זה  
בתגובה להודעה מספר 9
 
כתוב שזה עושה שימוש בGET, POST, COOKIE אז מה נשאר?
הרי REQUEST כבר ירד מהפרק.

האמת שSESSION לא הוזכר, הוא יותר בטוח?

אני מניח שמדובר בדרך לאמת את המשתנה, שאכן הוא המשתנה שאני הגדרתי, ושהוא לא הושתל, אבל לא מצאתי איך עושים את זה...

תודה רבה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
afroman50
חבר מתאריך 16.8.04
12555 הודעות, 1 פידבק
   00:39   19.03.12   
אל הפורום  
  11. האמת היא...  
בתגובה להודעה מספר 10
 
אני אתן לך דוגמה לסנריו
אתה מעלה את האתר שלך שנגיד פגיע לSQLI, מישהו הצליח מצא את השם משתמש שלך ואת הסיסמא בMD5, עושה קצת בדיקות מגלה את הMD5, עכשיו הוא מאתר את העמוד אדמין שמוביל לפאנל שלך, מצליח להיכנס, עכשיו הוא רוצה בעזרת ההרשאות שיש לו לגנוב לך מידע או להפיל לך את האתר או להעלות תולעת שתעשה CRAWL לכל המחשבים בשרת... כל דבר אפשרי
אבל הוא יכול להעלות נגיד רק JPG כי אלו ההרשאות, ישנה דרך להעלות JPG מזויף שנותן לך SHELL להעלות קבצים מכל סוג, בעזרת זה אתה מעלה SHELL שבנית או שיש לך ומקבל שליטה מלאה באתר ובשרת אפילו.

זו נגיד דרך אחת שיצא לי להתנסות בה (עד שלב מסוים) שעובדת


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
asco88 
חבר מתאריך 17.6.04
26757 הודעות
   13:05   19.03.12   
אל הפורום  
  12. אז איך אני מונע מניפולציות עם קבצים מזויפים כאלה?  
בתגובה להודעה מספר 11
 
הרי ברגע שנניח הועלה JPG אפשר רק לקרוא אותו, לא יותר.
אז בעצם החור יהיה ברגע שאפשר בתור אדמין לערוך שמות קבצים? כי אז זה מובן שזה חתיכת חור, אבל אם אני מעוניין באופציה כזאת, מה אני יכול לעשות כדי שלא יהיה ניתן להריץ קבצים כאלה, נראה לי שכלום בתאכלס, כי ברגע שהקובץ כבר שם, ולכל אחד יש הרשאה לקרוא אותו...
טוב התבלבלתי קצת חח.. אבל זה נתן לי כמה רעיונות מעניינים.
תודה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
afroman50
חבר מתאריך 16.8.04
12555 הודעות, 1 פידבק
   14:32   19.03.12   
אל הפורום  
  13. אין בעיה, אין דרך שאני מכיר למנוע אותו אבל למנוע את הSQLI זה טוב.  
בתגובה להודעה מספר 12
 


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net