Starší komentáře ke článku: Virtuální disk - souborová nástěnka v PHP

Zpět na článek | Úvodní stránka Interval.cz

Avatar

Autor komentáře: Tomáš Nouza

Datum vložení: 19.10.2002 19:00:16

Nemluvim samozřejmě o zaplnění serveru a podobně, to je snad každému provozovateli jasné.
Virtuální disk, popř. attachment ke zprávě, je občas potřeba a tak není problém ho implementovat.
Okamžitě ale přicházejí rizika, na ktré by se měl programátor připravit.
Ty nejdůležitější, otevírající dveře hackerům, jsou následující:
1) upload vlastního skriptu php a následné spuštění
2) upload spustinelného souboru s virem
3) obojí

ad. 1: není problém napsat vlastní skript, který může dělat díky síle php cokoli. Pak stačí jen napsat do prohlížeče <a href='http://server/upload_adresář/skript.php' target='_blank'>http://server/upload_adresář/skript.php</a> a práce je dokonána. Navíc díky rozmanitosti přípon a konfiguraci serveru musíme dát pozor na php, php3, php4 a na špatně nakonfigurovaném serveru i html ...
Mám tímto způsobem ověřené na několika serverech, že skript typu file manager může udělat téměř cokoli ...

ad. 2: soubor s virem je samozřejmě jen uploadnut, a ne spuštěn, čili okamžité napadení nehrozí. Nicméně hacker již vykonal část práce a spuštění může zajistit nějaký exploit ...

ad. 3: je to asi už jasné, php přímo spustí vir/trojan ...

Takže sečteno a podtrženo, vzhledem k rostoucím rizikům je dobré při uploadu akceptovat v první řadě jen soubory zip, rar, gz (navíc uživatelé jsou donuceni soubor zabalit a ušetří se na přenosu ...) popř. obrázky ...
A to platí o všech uploadech pro všechny platformy!!!!!!!

Avatar

Autor komentáře: Gabriel

Datum vložení: 31.10.2002 21:36:53

Ahoj...

Az tak cierne by som to nevidel, ak to bude spravne spravene. Samozrejme, zalezi aj od moznosti, kde to bude bezat (vlastny, alebo free server...). Ale hlavne, pre realnu aplikaciu v prvom rade by sa mali subory ukladat mimo dosahu www servera, takze ziadny PHP skript by potom nemohol nic robit. A este podla mna by sa mali na disku ukladat pod nejakym kodovym menom, napr pod IDckom z DB. Jednak z toho isteho dovodu, lebo ak tam takto bude PHP skript, tak ho nebude mozne spustit a tiez preto, lebo subory mozu mat rozne nazvy, myslim teraz na diakritiku a mohol by byt problem takyo subor ulozit. Viem, ze jemozne zakazat diakritiku v nazve suboru.....ale ked uz je to mozne na vacsine systemov, tak preco ich nepomenovavat tak aby to bolo ludsky citatelne. :-))

Gabriel

Zpět na článek | Úvodní stránka Interval.cz