[问题] 网页上传服务的缺点及问题 banana2014 PTT批踢踢实业坊

楼主: banana2014 (香蕉共和国) 2016-05-25 22:39:37

今天假设有一个网站，
跟imgur一样，可以立即地上传文件
但其文件的格式限制为.htm/.html/.txt/.js/.css
请问这样会有什么问题？
有心人士如果想放病毒或偷窥网站里的私密资讯又会怎样做？
会有什么争议吗？

作者: imhaha (嘿嘿) 2016-05-25 22:40:00

这文章数对比登入次数还蛮猛的

作者: sa0124 ((恩恩)) 2016-05-25 22:58:00

放github不就好了吗

楼主: banana2014 (香蕉共和国) 2016-05-25 23:11:00

我是说这样做会有什么问题，又不是说真的有这个网站

作者: blakechiang (Blake) 2016-05-26 07:18:00

允许上传.js档? 你认真的吗

作者: ccvs (kisS x Sis) 2016-05-26 11:01:00

推一楼..

作者: Neisseria (Neisseria) 2016-05-26 12:09:00

这样不就刚好开门给人 XSS 吗？

作者: blakechiang (Blake) 2016-05-26 16:29:00

不会怎样大概就是提供初中高阶骇客一个温馨的测试环境病毒都能伪装成image档了，你允许那些类型跟自杀有87%像

作者: hijkxyzuw (i,j,k) ×(x,y,z) 2016-05-26 18:43:00

有一些 **免费免登入** 只限大小的限时上传服务；关键字： nologin, upload. 像 wikisend, tinyupload.

作者: blakechiang (Blake) 2016-05-26 19:29:00

如果你可以确定你的站不会被注入攻击还做到0漏洞，那就如你所说，不然的话就会像我早期一样，被植入js档后再透过注入攻击和我搞不懂的手法去执行那一个js档，最后我的站就变成他的欢乐BT种子区但0漏洞…你觉得有可能吗

作者: vi000246 (Vi) 2016-05-26 20:54:00

你可以做一个出来让大家骇骇看

作者: hijkxyzuw (i,j,k) ×(x,y,z) 2016-05-27 21:32:00

其实我在学校给的网页空间有弄了一个上传档案的 cgi 。但没有人来过。作的保护只有资料夹的权限和不可上传php或cgi。（用 htaccess 控制执行。）

继续阅读