[問題] 網頁上傳服務的缺點及問題

看板Web_Design作者banana2014 (香蕉共和國)時間9年前 (2016/05/25 22:39)推噓5(5推 0噓 16→)

留言21則, 8人參與討論串1/1

今天假設有一個網站，跟imgur一樣，可以立即地上傳文件但其文件的格式限制為.htm/.html/.txt/.js/.css 請問這樣會有什麼問題？有心人士如果想放病毒或偷窺網站裡的私密資訊又會怎樣做？會有什麼爭議嗎？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.6.65 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1464187179.A.31B.html

→

imhaha

05/25 22:40, , 1^F

05/25 22:40, 1^F

→

sa0124

05/25 22:58, , 2^F

05/25 22:58, 2^F

→

banana2014

05/25 23:11, , 3^F

05/25 23:11, 3^F

推

blakechiang

05/26 07:18, , 4^F

05/26 07:18, 4^F

請問會怎樣嗎？我一直很想知道這有什麼問題…

→

ccvs

05/26 11:01, , 5^F

05/26 11:01, 5^F

※ 編輯: banana2014 (60.249.6.58), 05/26/2016 11:39:10

→

Neisseria

05/26 12:09, , 6^F

05/26 12:09, 6^F

你好假設我只是讓他們單純上傳.js和網頁檔上去，不曉得他們要怎麼「注入程式碼」到我的網站主要頁面?

→

blakechiang

05/26 16:29, , 7^F

05/26 16:29, 7^F

→

blakechiang

05/26 16:29, , 8^F

05/26 16:29, 8^F

→

blakechiang

05/26 16:31, , 9^F

05/26 16:31, 9^F

→

blakechiang

05/26 16:31, , 10^F

05/26 16:31, 10^F

你好他們有可能會用什麼方式去運用這個「溫馨的測試環境」呢？因為.js和.txt檔本身打開並不會執行任何東西，一定要打開.htm和.html才能執行.js裡的程式又js檔本身是在客戶端方面執行， ajax本身也頂多只是跟伺服器端要資料，也竊取不了或改變不了伺服器端的資料或檔案 cookie的話我如果用session不用cookie不曉得這樣子他們可不可能用js竊取資料… 總之，我是很好奇那些提供免費網頁空間服務的網站，他們是怎麼不讓自己伺服器不被「中高階駭客」入侵、竊取及破壞呢？ ※ 編輯: banana2014 (60.249.6.66), 05/26/2016 18:56:07

推

hijkxyzuw

05/26 18:43, , 11^F

05/26 18:43, 11^F

→

hijkxyzuw

05/26 18:44, , 12^F

05/26 18:44, 12^F

推

blakechiang

05/26 19:29, , 13^F

05/26 19:29, 13^F