31. august 2006 - 09:25Der er
7 kommentarer og 1 løsning
Sikkerhed i file upload
Hej
Jeg vil gerne vide lidt om sikkerheden i at uploade filer fra en HTML form. Jeg bruger web10´s AspSmartUpload. Jeg kan sætte sikkerheden til at de skal deny opload af fx .exe,.bat osv, ELLER jeg kan sætte sikkerheden til at jeg kan definere hvilke typer jeg tillader upload af. Jeg vil gerne vide om der er mange andre "farlige" formater af filer (udover .exe og .bat) OG om man kan gemme en farlig filtype i fx .jpg mm. Kan man fx rename en .exe fil, og rename den til .jpg og så få den til at være eksekverbar stadig?
Når filen først er gemt på dit webhotel kan du ikke lave den om til et "farligt" format - det skulle i hvert fald undre mig ret meget. Men skal dine brugere kunne uploade filer og så bagefter kunne omdøbe dem?
.ASP filer må man heller ikke uploade. Hvis det endelig skal være så upload filerne til en mappe uden for www roden (har du ikke en DB mappe??). på den måde kan brugerne uploade alt det de vil, men de kan ikke køre filerne. De kan kun hentes via FSO eller lign objekter.
Du skal ikke være bange for almindelig billeder. De er uskadlige.
En .exe fil vil ikke være eksekverbar, hvis den er omdøbt til .jpg. MEN den kan sikkert skabe en "buffer overflow", hvis den er skrevet rigtigt, og derved køre skadelig kode. Du har måske hørt om problemet, da det blev opdaget for ½ års tid siden. Det skulle dog være løst, hvis man har opdateret sit OS.
Næ, jeg var bange for at nogle ville uploade en virus fil (fx virus.exe) og så omdøbe den til virus.jpg og så uploade den. Kunne den være skadelig for mig, når jeg åbner den en dag? Forresten Fennec - jeg tænkte slet ikke på at brugerne kunne uploade en fil, og så selv køre den... Det kan jeg godt se at jeg skal huske på.
Jeg vil lave et online fotoalbum, hvor brugere selv kan uploade billeder, og de vil derfor blive åbnet af forskellige. Spørgsmålet er vist bare, om virus.jpg kan være farlig for (A: mit webhotel, B: brugeren der åbner "billedet)?
Ja. Men problemet er meget lille. 1. Der er bedre måder at lave viruser på. 2. Problemet er løst i opdateret OS. 3. Problemet var kun aktivt i meget kort tid, inden opdateringen kom. 4. Fanges vist også af antivirus programmer (er ikke helt sikker)
Disse 4 punkter gør det uintressant for hackere o.lign at lave denne type virus. Derfor er det ikke noget du skal bekymre dig om. Der er 1000 gange større sansynlighed for at nogen forsøger at hacke din side, end at lave en billedvirus.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.