0

たくさんの記事を読んだ後。ファイルのアップロードによるハッキングの試みからサイトを保護するには、実際に何をすべきでしょうか?

これらのリンクから:

  1. このリンクには、MIME IS USELESSEXTENSION IS THE WAY TO GOと書かれています。しかし、最終的には 2 つの当事者が議論しているだけであり、私が正しければ、MIME と EXTENSION の両方にセキュリティ ホールがあると言うことに同意しました。そこにたくさんの憎しみがあります。

  2. このリンクは、MIME も役に立たないこと、および EXTENSION もフール プルーフではないということに同意します。HTML または JAVASCRIPT コードを GIF 画像ファイル (またはその他) に挿入でき、IE によって誤って解釈される可能性があるため、悪意のあるコードの迅速なバックドア入り口につながる可能性があります。 (IEの使用を停止するために投票することを本当に望んでいます。ハッキングブラウザとして使用するために作られたようなものです。)

  3. このリンクは、ファイルにNON-EXECUTABLE PERMISSIONを与えて、それが何であれ実行しないようにすることを示しています(ただし、これにより、2番目のステートメントで言及されているような画像に埋め込まれたxss/html/javascript/etcから保護されます? ファイルに実行不可能なアクセス許可を与えることで、埋め込まれた脅威から私たちを保護できるとしたら. それは他の脅威からも私たちを保護するでしょうか? このアプローチを回避できる他の形式のハッキングはありますか?)

  4. そして、 「画像を再処理する」というリンクがありますが、他の方法は「ハッカーにとって退屈で楽しい」だけです。IMAGE が IMAGE であるかどうかを特定する確かな方法のようなものです (IMO、imagick が非画像を正しく変換しないのはなぜですか? よくわかりません。まだ詳しく調べていません)。

では、ファイル アップロードの脅威からサイトを保護するための最善かつ安全な方法は何でしょうか?

すべてを確認すると、次のようになります。

  • 有効な MIME タイプ
  • 有効な拡張子
  • GETIMAGESIZE() チェック
  • 非実行権限を確保する
  • 画像を再処理する

それで十分でしょうか?SAFE SECURE 画像ファイルのアップロードの場合は?

4

1 に答える 1

1
  1. mime-typeは偽造しやすく、ファイル拡張子は偽造しやすいです。ユーザーが善良な人物であると仮定して、ファイルの種類についての手がかりが必要な場合に使用します。それに頼らないでください。
  2. 私のポイントは正確に
  3. ファイルに非実行権限を与えることをお勧めします。Web セキュリティの観点からは役に立ちません。.phpファイルは実行可能ファイルですか? いいえ。Web サーバーによって処理されますか? いいえ。はい。
  4. これが進むべき道です。たとえば imagick でファイルを開きます。imagick がファイル形式について不平を言う場合は、それを保持しないでください。
于 2013-03-20T12:23:22.083 に答える