Может ли чтение файла быть столь же опасным, как и его выполнение
В Perl, если какой-либо тип файла может быть загружен на сервер (не в корневой каталог web) и, следовательно, загружен, может ли это быть опасным? Он не выполняется как таковой, а читается как двоичный.
1 ответ:
Я повторю ссылки @ThisSuitIsBlackNot на соображения безопасности загрузки файлов...
- Уязвимости Неограниченной Загрузки Файлов
- полные уязвимости загрузки файлов , которые не являются полными вообще, но включают некоторые хорошие примеры.
- CWE-434: неограниченная загрузка файла с опасным типом
- 8 Основные правила для реализации безопасной загрузки файлов
Их можно свести к следующему...
- опасности на ваш сервер
- ввод специального файла или расширения файла, который будет выполняться сервером.
- .htaccess (per-directory Apache configuration file)
- .РНР, .гадюка, .cgi и др...
- ввод системного файла вне каталога загрузки.
- / etc / passwd or ../../../../etc / passwd
- Использование дефекта в библиотеке обработки
- Изменение размера изображения
- синтаксический анализ XML/JSON
- инъекция SQL атака
- имя файла
- метаданные файла
- Нападение впрыски раковины
- имя файла
- Переполнение буфера
- размер файла
- размер http-загрузки
- размер файла
- глубина Каталога
- Отказ в обслуживании путем заполнения диска
- опасности для других
- фишинговая атака
- загрузить вредоносный файл .html-файл, заставляющий его казаться, что URL-адрес исходит от вашего (доверенного) хозяин.
- загрузить вредоносный файл .файл js и ссылаться на него из другого места в вашем домене (возможно, сообщение на форуме), чтобы обойти защиту от атак XSS.
- использование вашего сервиса в качестве анонимного вектора атаки
- файлы управления ботнетом
- пиратские файлы, включая торренты
- личные данные для целей шантажа или преследования
- троянские / вирусные файлы