[問題] 網頁上傳服務的缺點及問題

看板Web_Design作者 (香蕉共和國)時間9年前 (2016/05/25 22:39), 9年前編輯推噓5(5016)
留言21則, 8人參與, 最新討論串1/1
今天假設有一個網站, 跟imgur一樣,可以立即地上傳文件 但其文件的格式限制為.htm/.html/.txt/.js/.css 請問這樣會有什麼問題? 有心人士如果想放病毒或偷窺網站裡的私密資訊又會怎樣做? 會有什麼爭議嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.6.65 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1464187179.A.31B.html

05/25 22:40, , 1F
這文章數對比登入次數 還蠻猛的
05/25 22:40, 1F

05/25 22:58, , 2F
放github不就好了嗎
05/25 22:58, 2F

05/25 23:11, , 3F
我是說這樣做會有什麼問題,又不是說真的有這個網站
05/25 23:11, 3F

05/26 07:18, , 4F
允許上傳.js檔? 你認真的嗎
05/26 07:18, 4F
請問會怎樣嗎? 我一直很想知道這有什麼問題…

05/26 11:01, , 5F
推一樓..
05/26 11:01, 5F
※ 編輯: banana2014 (60.249.6.58), 05/26/2016 11:39:10

05/26 12:09, , 6F
這樣不就剛好開門給人 XSS 嗎?
05/26 12:09, 6F
你好 假設我只是讓他們單純上傳.js和網頁檔上去, 不曉得他們要怎麼「注入程式碼」到我的網站主要頁面?

05/26 16:29, , 7F
不會怎樣 大概就是提供初中高階駭客一個溫馨的測試環
05/26 16:29, 7F

05/26 16:29, , 8F
05/26 16:29, 8F

05/26 16:31, , 9F
病毒都能偽裝成image檔了,你允許那些類型跟自殺有87
05/26 16:31, 9F

05/26 16:31, , 10F
%像
05/26 16:31, 10F
你好 他們有可能會用什麼方式去運用這個「溫馨的測試環境」呢? 因為.js和.txt檔本身打開並不會執行任何東西, 一定要打開.htm和.html才能執行.js裡的程式 又js檔本身是在客戶端方面執行, ajax本身也頂多只是跟伺服器端要資料, 也竊取不了或改變不了伺服器端的資料或檔案 cookie的話我如果用session不用cookie不曉得這樣子他們可不可能用js竊取資料… 總之, 我是很好奇那些提供免費網頁空間服務的網站, 他們是怎麼不讓自己伺服器不被「中高階駭客」入侵、竊取及破壞呢? ※ 編輯: banana2014 (60.249.6.66), 05/26/2016 18:56:07

05/26 18:43, , 11F
有一些 **免費免登入** 只限大小的限時上傳服務;
05/26 18:43, 11F

05/26 18:44, , 12F
關鍵字: nologin, upload. 像 wikisend, tinyupload.
05/26 18:44, 12F

05/26 19:29, , 13F
如果你可以確定你的站不會被注入攻擊還做到0漏洞,那
05/26 19:29, 13F

05/26 19:29, , 14F
就如你所說,不然的話就會像我早期一樣,被植入js檔
05/26 19:29, 14F

05/26 19:29, , 15F
後再透過注入攻擊和我搞不懂的手法去執行那一個js檔
05/26 19:29, 15F

05/26 19:29, , 16F
,最後我的站就變成他的歡樂BT種子區
05/26 19:29, 16F

05/26 19:29, , 17F
但0漏洞…你覺得有可能嗎
05/26 19:29, 17F

05/26 20:54, , 18F
你可以做一個出來讓大家駭駭看
05/26 20:54, 18F

05/27 21:32, , 19F
其實我在學校給的網頁空間有弄了一個上傳檔案的 cgi 。
05/27 21:32, 19F

05/27 21:34, , 20F
但沒有人來過。作的保護只有資料夾的權限和不可上傳php
05/27 21:34, 20F

05/27 21:36, , 21F
或cgi。(用 htaccess 控制執行。)
05/27 21:36, 21F
文章代碼(AID): #1NHRahCR (Web_Design)
文章代碼(AID): #1NHRahCR (Web_Design)