今天假設有一個網站,
跟imgur一樣,可以立即地上傳文件
但其文件的格式限制為.htm/.html/.txt/.js/.css
請問這樣會有什麼問題?
有心人士如果想放病毒或偷窺網站裡的私密資訊又會怎樣做?
會有什麼爭議嗎?
作者:
imhaha (嘿嘿)
2016-05-25 22:40:00這文章數對比登入次數 還蠻猛的
作者:
sa0124 ((恩恩))
2016-05-25 22:58:00放github不就好了嗎
作者: blakechiang (Blake) 2016-05-26 07:18:00
允許上傳.js檔? 你認真的嗎
作者:
ccvs (kisS x Sis)
2016-05-26 11:01:00推一樓..
作者:
Neisseria (Neisseria)
2016-05-26 12:09:00這樣不就剛好開門給人 XSS 嗎?
作者: blakechiang (Blake) 2016-05-26 16:29:00
不會怎樣 大概就是提供初中高階駭客一個溫馨的測試環境病毒都能偽裝成image檔了,你允許那些類型跟自殺有87%像
作者:
hijkxyzuw (i,j,k) ×(x,y,z)
2016-05-26 18:43:00有一些 **免費免登入** 只限大小的限時上傳服務;關鍵字: nologin, upload. 像 wikisend, tinyupload.
作者: blakechiang (Blake) 2016-05-26 19:29:00
如果你可以確定你的站不會被注入攻擊還做到0漏洞,那就如你所說,不然的話就會像我早期一樣,被植入js檔後再透過注入攻擊和我搞不懂的手法去執行那一個js檔,最後我的站就變成他的歡樂BT種子區但0漏洞…你覺得有可能嗎
作者:
hijkxyzuw (i,j,k) ×(x,y,z)
2016-05-27 21:32:00其實我在學校給的網頁空間有弄了一個上傳檔案的 cgi 。但沒有人來過。作的保護只有資料夾的權限和不可上傳php或cgi。(用 htaccess 控制執行。)