Как я могу запретить людям загружать вредоносные файлы на мой сайт?
Короче говоря, у меня есть веб-страница, которая позволяет людям загружать файлы на мой сайт, а затем отображает ссылку на все, что они загрузили.
Загруженный файл позволяет загружать файлы любого типа и сохраняет их в общей папке с именем «uploads».
Я могу предвидеть множество угроз безопасности, связанных с этим. Например, если пользователь загружает HTML-файл, он открывается при открытии как веб-страница — в этом случае у него могут быть перенаправления на вирусы и т. Д.
Я хочу, чтобы сайт был максимально открытым — и мне нравится тот факт, что загрузчик позволяет пользователям добавлять веб-страницы на мой сайт. Тем не менее, мне нужно, чтобы он был безопасным для пользователей (и меня).
Как я могу сделать сайт максимально открытым (предоставляя пользователям как можно больше свободы), не будучи уязвимым для хакеров?
Решение
Есть несколько вещей, которые вы должны рассмотреть, выберите то, что когда-либо соответствует вашим программным потребностям:
- Не допускайте тех файлов, которые являются исполняемыми файлами, такими как HTML, PHP, CGI
- Если вы разрешите загрузку этих файлов, то в этом каталоге прекратите выполнение любого скрипта (это будет сделано через .htaccess). Если вы хотите разрешить html, то остановите любые серверные скрипты, такие как PHP.
- Вместо того, чтобы давать прямые ссылки на эти файлы. Отправьте файл через ваш сервер, как в заголовке PHP. Таким образом, файл будет отправлен как загрузка, и у злоумышленника не будет прямой ссылки на файл, поэтому он не сможет его выполнить.
Другие решения
Других решений пока нет …