Avatar billede torejessen Nybegynder
31. august 2006 - 09:25 Der er 7 kommentarer og
1 løsning

Sikkerhed i file upload

Hej

Jeg vil gerne vide lidt om sikkerheden i at uploade filer fra en HTML form.
Jeg bruger web10´s AspSmartUpload.
Jeg kan sætte sikkerheden til at de skal deny opload af fx .exe,.bat osv, ELLER jeg kan sætte sikkerheden til at jeg kan definere hvilke typer jeg tillader upload af.
Jeg vil gerne vide om der er mange andre "farlige" formater af filer (udover .exe og .bat) OG om man kan gemme en farlig filtype i fx .jpg mm. 
Kan man fx rename en .exe fil, og rename den til .jpg og så få den til at være eksekverbar stadig?

Venlig hilsen

Tore
Avatar billede madeindk Nybegynder
31. august 2006 - 09:39 #1
Når filen først er gemt på dit webhotel kan du ikke lave den om til et "farligt" format - det skulle i hvert fald undre mig ret meget. Men skal dine brugere kunne uploade filer og så bagefter kunne omdøbe dem?
Avatar billede fennec Nybegynder
31. august 2006 - 09:41 #2
.ASP filer må man heller ikke uploade.
Hvis det endelig skal være så upload filerne til en mappe uden for www roden (har du ikke en DB mappe??). på den måde kan brugerne uploade alt det de vil, men de kan ikke køre filerne. De kan kun hentes via FSO eller lign objekter.

Du skal ikke være bange for almindelig billeder. De er uskadlige.
Avatar billede fennec Nybegynder
31. august 2006 - 09:47 #3
En .exe fil vil ikke være eksekverbar, hvis den er omdøbt til .jpg. MEN den kan sikkert skabe en "buffer overflow", hvis den er skrevet rigtigt, og derved køre skadelig kode. Du har måske hørt om problemet, da det blev opdaget for ½ års tid siden. Det skulle dog være løst, hvis man har opdateret sit OS.
Avatar billede torejessen Nybegynder
31. august 2006 - 09:51 #4
Hej

Næ, jeg var bange for at nogle ville uploade en virus fil (fx virus.exe) og så omdøbe den til virus.jpg og så uploade den.
Kunne den være skadelig for mig, når jeg åbner den en dag?
Forresten Fennec - jeg tænkte slet ikke på at brugerne kunne uploade en fil, og så selv køre den... Det kan jeg godt se at jeg skal huske på.

Jeg vil lave et online fotoalbum, hvor brugere selv kan uploade billeder, og de vil derfor blive åbnet af forskellige. Spørgsmålet er vist bare, om virus.jpg kan være farlig for (A: mit webhotel, B: brugeren der åbner "billedet)?
Avatar billede torejessen Nybegynder
31. august 2006 - 09:52 #5
ok, så filen kan være farlig for brugeren der åbner filen, hvis hans styresystem er gammelt?
Avatar billede fennec Nybegynder
31. august 2006 - 10:59 #6
Ja. Men problemet er meget lille.
1. Der er bedre måder at lave viruser på.
2. Problemet er løst i opdateret OS.
3. Problemet var kun aktivt i meget kort tid, inden opdateringen kom.
4. Fanges vist også af antivirus programmer (er ikke helt sikker)

Disse 4 punkter gør det uintressant for hackere o.lign at lave denne type virus. Derfor er det ikke noget du skal bekymre dig om. Der er 1000 gange større sansynlighed for at nogen forsøger at hacke din side, end at lave en billedvirus.
Avatar billede torejessen Nybegynder
01. september 2006 - 13:09 #7
OKi lyder godt :-)
Du kan jo smide et svar, så skal du få lidt velfortjente point til weekenden ;-)
Avatar billede fennec Nybegynder
04. september 2006 - 12:11 #8
.o) <-- One Eyed Jack
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Kurser inden for grundlæggende programmering

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester