Question

Есть ли какой-либо риск безопасности, позволяющий пользователю загружать HTML-файл на наш веб-сервер?

Вот несколько пунктов, которые следует учитывать:

Только пользователь может получить доступ к егоhtml файлы
Файл может содержать javascript (если на него ссылается другой сервер)
HTML-файл хранится в виде двоичных данных в базе данных, пока пользователь не запросит документ

Меня больше беспокоит риск для системы, а не для пользователя, поскольку именно они должны были загрузить файл (или кто-то еще, кто уже имеет доступ к своей учетной записи).

Любые предложения очень ценятся!

Ура,

Troy Hunt · Answer 1 · 11 августа 2011

Довольно минимально, если таковые имеются. Это HTML, поэтому вы ничего не выполняете на сервере. Если он абсолютно, положительно просматривается только загрузчиком, тогда нет никаких векторов атаки XSS или CSRF.

Ваш самый большой риск, вероятно, связан с функцией загрузки и обеспечением отсутствия вредоносной нагрузки, которая может выполняться на стороне сервера.

В чем заключается риск безопасности, позволяющий пользователю загружать HTML-файл на веб-сервер?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

В чем заключается риск безопасности, позволяющий пользователю загружать HTML-файл на веб-сервер?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов