Вопросы безопасности при разрешении загрузки документов

Question

У меня есть веб-приложение, которое позволяет пользователям загружать определенные документы, относящиеся к их учетной записи (word / excel / powerpoint и т. Д.).Я создаю это с помощью CodeIgniter, и я просто хотел убедиться, что ничего не упускаю из соображений безопасности.

• Проверены MIME-типы файлов
• Проверен максимальный размер
• Имя файла хэшируется
• Имя пользователя никогда не видится никому из пользователей. Скорее всего, при нажатии на ссылку «скачать» контроллер safedownload вызывается с идентификатором (http://www.example.com/safedownload/1245/)

Есть ли что-то, что я пропускаю?CHMOD для файлов в каталоге в настоящее время установлен на 0600, это безопасно?

Спасибо.

Answer 1

Рассматривали ли вы способ доступа к файлам позже?Существует общий недостаток, о котором вы должны знать:

Если путь к файлу можно манипулировать любым способом, возможно, к вашему серверу можно получить доступ, например, за пределами папки, в которой вы храните документы../../../etc/somefile

Чтобы защититься от этого, вы можете проверить путь к файлу, который должен быть доступен для «..», чтобы убедиться, что никто не нашел способ получить этисимволы в команде, которую выполняет ваш код!