我是新來的文檔存儲空間。我不確定我在做什麼,但是在我開始之前,我想知道當人們允許文件上傳時可能存在的安全威脅,以及清理數據的最佳方式是什麼?我使用PHP,並允許圖像,Word文檔,PDF文檔,EXCEL文檔等什麼是一些網站通過文件上傳公開的安全漏洞?
這是一個很好的解決方案:
http://blog.insicdesigns.com/2009/01/secure-file-upload-in-php-web-applications/
有兩個真的很明顯的:
而這只是服務器的風險。文件可能包含可能影響其他用戶的惡意軟件。你可能會想找到一個掃描儀的東西。
我會建議如果你想讓人們上傳文件,你會發現一個預先寫好的腳本,很多其他人使用和推薦。當有人做某件您從未考慮過的事情時,滾動自己肯定會給您帶來麻煩。
這裏有大量的安全漏洞,允許用戶時上傳文件。阻止不需要的文件格式的潛力可以幫助限制某人能夠上傳shell並根據您的服務器進行操作的可能性。 影響服務器上信息的完整性,機密性和可用性。
也有vulns內您形式的控制,以及諸如XSS(跨站腳本)利用...允許用戶運行惡意代碼。這可能會導致在用戶環境中執行惡意代碼。
對於實際數據庫中的漏洞以及SQL注入,還有可能存在漏洞。
只是不要讓服務器執行可執行文件...
從用戶上傳大文件,利用至關重要的磁盤空間和帶寬的風險。
有用的鏈接,確保PHP上載腳本:http://www.webcheatsheet.com/PHP/file_upload.php
將這些文件從我們現有的環境託管到亞馬遜存儲或機架空間雲存儲之類的應用程序也是明智的選擇嗎? – AAA 2011-04-14 22:08:07
好點:是的,雲存儲將是非常有用的,但那麼他們有爭議的問題。誰擁有云中的數據?你或亞馬遜等等......取決於真實信息的保密性以及潛在的數據保護法案等。欲瞭解更多信息,請閱讀CIA Triad Model。 http://en.wikipedia.org/wiki/Information_security – Hmm 2011-04-14 22:11:11
我還沒有聽說過誰擁有這些文件的爭議。誰支付帳戶的確如此。如果主機在文件中擁有任何所有權股份,他們可能不符合任何「安全港」例外 - 所以大多數主機甚至不會想到要求所有權。雖然託管協議可能會授予主機複製和分發許可證,但是它們可以存儲和發送文件,而不需要一些笨拙的起訴他們來完成他們的工作。 – cHao 2011-04-14 22:20:20
有一些威脅,你應該知道的:
僅舉其中的一些。您應該查看關於無限制文件上傳的OWASP Website。你應該找到你需要的任何東西。
將這些文件從我們現有的環境中託管到亞馬遜存儲或機架空間雲存儲之類的應用程序也是可取的嗎? – AAA 2011-04-14 22:05:02
如果您已經擁有它,可能需要考慮。但重要的是,服務器永遠不應該被允許編寫可執行文件或執行上傳。理想情況下,應用程序甚至不應該讀*可執行文件,以免泄漏他們所做的所有祕密(以及可能使用的密碼!),因此,如果您不想使用單獨的帳戶,不知道PHP。但是,一個體面的上傳者將會減少很多這些問題,而無需支付其他賬單。 – cHao 2011-04-14 22:13:14
所以我只是要確保文件是可上傳的,但不可執行和可下載....我如何設置權限? – AAA 2011-04-14 22:20:06