[問題] 網頁上傳服務的缺點及問題 banana2014 PTT批踢踢實業坊

作者: banana2014 (香蕉共和國) 2016-05-25 22:39:37

今天假設有一個網站，
跟imgur一樣，可以立即地上傳文件
但其文件的格式限制為.htm/.html/.txt/.js/.css
請問這樣會有什麼問題？
有心人士如果想放病毒或偷窺網站裡的私密資訊又會怎樣做？
會有什麼爭議嗎？

作者: imhaha (嘿嘿) 2016-05-25 22:40:00

這文章數對比登入次數還蠻猛的

作者: sa0124 ((恩恩)) 2016-05-25 22:58:00

放github不就好了嗎

作者: banana2014 (香蕉共和國) 2016-05-25 23:11:00

我是說這樣做會有什麼問題，又不是說真的有這個網站

作者: blakechiang (Blake) 2016-05-26 07:18:00

允許上傳.js檔? 你認真的嗎

作者: ccvs (kisS x Sis) 2016-05-26 11:01:00

推一樓..

作者: Neisseria (Neisseria) 2016-05-26 12:09:00

這樣不就剛好開門給人 XSS 嗎？

作者: blakechiang (Blake) 2016-05-26 16:29:00

不會怎樣大概就是提供初中高階駭客一個溫馨的測試環境病毒都能偽裝成image檔了，你允許那些類型跟自殺有87%像

作者: hijkxyzuw (i,j,k) ×(x,y,z) 2016-05-26 18:43:00

有一些 **免費免登入** 只限大小的限時上傳服務；關鍵字： nologin, upload. 像 wikisend, tinyupload.

作者: blakechiang (Blake) 2016-05-26 19:29:00

如果你可以確定你的站不會被注入攻擊還做到0漏洞，那就如你所說，不然的話就會像我早期一樣，被植入js檔後再透過注入攻擊和我搞不懂的手法去執行那一個js檔，最後我的站就變成他的歡樂BT種子區但0漏洞…你覺得有可能嗎

作者: vi000246 (Vi) 2016-05-26 20:54:00

你可以做一個出來讓大家駭駭看

作者: hijkxyzuw (i,j,k) ×(x,y,z) 2016-05-27 21:32:00

其實我在學校給的網頁空間有弄了一個上傳檔案的 cgi 。但沒有人來過。作的保護只有資料夾的權限和不可上傳php或cgi。（用 htaccess 控制執行。）

繼續閱讀