/ / Jakie ryzyko bezpieczeństwa kryje się za umożliwieniem użytkownikowi przesłania pliku HTML na serwer sieciowy? - html, security, iis, file-upload

Jakie ryzyko związane jest z bezpieczeństwem, które pozwala użytkownikowi przesłać plik HTML na serwer sieciowy? - html, security, iis, file-upload

Czy istnieje ryzyko związane z bezpieczeństwem, pozwalając użytkownikowi przesłać plik HTML na nasz serwer WWW?

Oto kilka elementów do rozważenia:

  • Tylko użytkownik może uzyskać dostęp do swoich plików HTML
  • Plik może zawierać javascript (jeśli istnieje odniesienie z innego serwera)
  • Plik HTML jest przechowywany jako dane binarne w bazie danych, dopóki użytkownik nie zażąda dokumentu

Bardziej niepokoję się zagrożeniami dla systemu, a nie dla użytkownika, ponieważ musieliby to być ci, którzy przesłali plik (lub ktoś, kto już ma dostęp do jego konta).

Wszelkie sugestie są mile widziane!

Twoje zdrowie,

Odpowiedzi:

3 dla odpowiedzi № 1

Całkiem minimalne, jeśli jakiekolwiek. To jest HTML, więc nie wykonujesz niczego na serwerze. Jeśli jest to absolutnie, pozytywnie tylko oglądane przez przesyłającego, to nie ma wektorów ataku XSS lub CSRF o dowolnej wartości.

Twoim największym ryzykiem jest prawdopodobnie funkcja przesyłania i zapewnienie, że nie ma złośliwego ładunku, który mógłby zostać wykonany po stronie serwera.

Powiązane pytania

Zend_File_Transfer_Adapter_Http utf-8 - zend-framework, utf-8
Wgrywanie pliku XML 60MB do węzła Umbraco powoduje nieskończoną pętlę - xml, upload plików, umbraco
Zagrożenie bezpieczeństwa: OLEDB Excel - security, excel, oledb
Czy zezwolenie na przesyłanie plików PDF przez użytkowników mojej aplikacji internetowej stanowi zagrożenie dla bezpieczeństwa? - python, bezpieczeństwo, pdf, przesyłanie plików
Przekazywanie ścieżki pliku do skryptu php - php, javascript, jquery, ajax, file
jak zaktualizować type = file - php, file, input
CURL + $ GLOBALS ["HTTP_RAW_POST_DATA"] w PHP - php, flash, facebook, curl
social.png przesyłaj wirusy jako obrazy w php - php, bezpieczeństwo, przesyłanie plików, wykrywanie szkodliwego oprogramowania
PHP - Przesyłanie plików - co dzieje się wewnętrznie? - php, html, przesyłanie plików, plik-io
Jak bezpiecznie przesyłać i pobierać pliki PDF przechowywane w systemie plików przy użyciu PHP - php, security, pdf, file-upload, filesystems
Problemy z bezpieczeństwem zezwalaj użytkownikom na zapisywanie plików z adresu URL - php
Automatyczne przesyłanie plików AJAX w firefox - javascript, jquery, ajax, file-upload
Plik do przesyłania stron internetowych nie działa na iPadzie - ipad
Czy w swojej aplikacji internetowej, po przesłaniu plików na S3, można bezpiecznie przesłać je bezpośrednio do S3 od strony klienta? - przesyłanie plików, serwisy amazon-web, amazon-s3
Wykryj typ pliku bez końcówki - c #, asp.net-mvc-4, bezpieczeństwo, typ pliku
Tekst HTML z obrazem - c #, jquery, asp.net-mvc-3
sieć lokalna dostaje ścieżkę do pliku, ale nie przesyła pliku - c #, asp.net, plik
Programowo ustaw nazwę pliku do przesłania na stronę WWW - asp.net, html, file, upload
uzyskać pełną ścieżkę do pliku (nie do przesłania!) - asp.net-mvc, wdrożenie internetowe
Jak postępuje wgrywanie pliku użytkownika w ASP.Net MVC2 - asp.net-mvc-2, przesyłanie plików, c # -4.0