今天假设有一个网站,
跟imgur一样,可以立即地上传文件
但其文件的格式限制为.htm/.html/.txt/.js/.css
请问这样会有什么问题?
有心人士如果想放病毒或偷窥网站里的私密资讯又会怎样做?
会有什么争议吗?
作者:
imhaha (嘿嘿)
2016-05-25 22:40:00这文章数对比登入次数 还蛮猛的
作者:
sa0124 ((恩恩))
2016-05-25 22:58:00放github不就好了吗
作者: blakechiang (Blake) 2016-05-26 07:18:00
允许上传.js档? 你认真的吗
作者:
ccvs (kisS x Sis)
2016-05-26 11:01:00推一楼..
作者:
Neisseria (Neisseria)
2016-05-26 12:09:00这样不就刚好开门给人 XSS 吗?
作者: blakechiang (Blake) 2016-05-26 16:29:00
不会怎样 大概就是提供初中高阶骇客一个温馨的测试环境病毒都能伪装成image档了,你允许那些类型跟自杀有87%像
作者:
hijkxyzuw (i,j,k) ×(x,y,z)
2016-05-26 18:43:00有一些 **免费免登入** 只限大小的限时上传服务;关键字: nologin, upload. 像 wikisend, tinyupload.
作者: blakechiang (Blake) 2016-05-26 19:29:00
如果你可以确定你的站不会被注入攻击还做到0漏洞,那就如你所说,不然的话就会像我早期一样,被植入js档后再透过注入攻击和我搞不懂的手法去执行那一个js档,最后我的站就变成他的欢乐BT种子区但0漏洞…你觉得有可能吗
作者:
hijkxyzuw (i,j,k) ×(x,y,z)
2016-05-27 21:32:00其实我在学校给的网页空间有弄了一个上传档案的 cgi 。但没有人来过。作的保护只有资料夹的权限和不可上传php或cgi。(用 htaccess 控制执行。)