私はこの問題がかなり一般的だと考えています。ユーザーが自分のファイルをサーバーにアップロードできるようにしたいと考えています。セキュリティ上の問題を防ぐための一般的な方法の1つは、ファイル拡張子をチェックして実行可能ファイルを防止することです。Apacheでファイルをアップロードするセキュリティ
しかし、それはかなり無邪気です、私は信じています。たとえば、ユーザーはphpテキストファイルをアップロードして、単にphpinfo()を出力することができます。 PHPの問題だけでなく、サーバーが自動的に実行したいファイルであれば問題ありません。
APACHEを設定する方法はありますが、安全なディレクトリ(静的にアップロードされたファイルを保存する)があり、このフォルダ内のファイルは実行可能でないほど安全です(ユーザーがそのようなファイルを要求すると、サーバーに何の影響も与えずにブラウザーに直接送信されます)。
ファイル拡張子のチェックは、USELESS技術です。誰かがアップロードを行う前に
ren nastyvirus.exe cutekittens.jpg
をやって考えてみましょう。
アップロードの最も安全なことは、サイトのドキュメントルートの外側のどこかにドロップすることです。そのため、直接届くURLを指定することは文字通り不可能です。唯一のアクセスはあなたが制御するスクリプトを介して行われます。
いいえ。実際にEXEであってもJPGファイルは実行されないためです。 – SLaks
サーバがPHPスクリプトであるかのように.txtファイルを実行しません。 –
@MarcBこれは正しくありません。 –
アップロードされたファイルをhtdocsパスからディレクトリに保存するだけで十分です。
ファイルをユーザーに配信したくない場合はどういう意味ですか?それを元に戻す前に、サーバーコードがファイルを最初に読み取ることを意味しますか? – hiro
おそらく最初の場所は悪い考えです。おそらく、自分のドメイン名から配信できるJavascriptなどのものをアップロードでき、ドキュメントオブジェクトモデル内で何かできるようになるからです。
実行可能なウイルスは、多くの場合、自身を「kitten.jpg.exe」と名付けます。デフォルトでWindowsはファイル名の最後の部分を隠すので、すぐにダウンロードして実行する「kitten.jpg」と表示されます。
GoogleとYahooは、この権利を得るために多大な時間と労力を費やしています.Sujを簡単に許可していません。それをしないでください。特に明示的に信頼していないものは信用できません。
あなたが本当にそれをしたい場合は - 、それは盲目的に誰がチェックすることなく、彼らが望むものをアップロードできるようにするために、まだかなり悪いアイデアだ - そして、あなたは、少なくともアパッチ
<IfModule mod_php5.c>
php_value include_path ".:/usr/local/lib/php"
php_admin_flag engine on
</IfModule>
セキュリティ上の問題は通常、アップロードからではなく、ホスティングから発生します。任意のクッキーやメインドメインに関連する他の資格情報は、HTML /フラッシュ/などをアップロードするために漏洩しないように
ファイルをホストする場合、あなたは
document.domain = ...を介して特権ドメインに設定できないドメインでなければなりません。sudo bash人がいて、PATHに.を入れてください。この動作でtrojansが有効になります。誰かのPATH、PYTHONPATHなどにあってはいけません。理想的には、独自の役割アカウントを持つ1つのApacheインスタンスがあり、読み取りアクセス権を持ち、ほかのアカウントには読み取りアクセス権がありません。あなたのメインのApacheのインスタンスがこれらのファイルを書き込むことはできますが、読み込めない場合はアップロードできますが、それらを提供することはできません。
このリンク[http://www.acunetix.com/websitesecurity/upload-forms-threat.htm](http://www.acunetix.com/websitesecurity/upload-forms-threat.htm)かもしれないヘルプ –
非常に便利なリンク。しかし、提案された解決策では不十分です。 – hiro