由于文件夹具有777权限,这意味着人们可以在那里上传文件并远程运行脚本,因此我们的网站被黑了。但是,该文件夹需要为777,因为该网站有一个客户端功能来裁剪图像,并需要在那里保存裁剪的图像。
如何保护此文件夹并防止黑客攻击?
请告诉我该怎么做?非常感谢!
答案 0 :(得分:0)
我会重新考虑你的设计。您应该限制客户端读取和执行(但不写入)您自己编写的脚本以执行他们需要的特定任务。在脚本中验证您是否正在对图像文件进行操作,因此不能在其他无效图像的文件上使用它。不仅要检查文件扩展名,还要检查文件的前几个字节(对于大多数格式,它将告诉您它是什么)。文件扩展名很容易更改。
永远不要让用户上传自己的脚本以便执行到您的服务器。如果你这样做,那么黑客攻击真的很容易。如果您拥有必须能够执行此操作的“强大”用户,请为他们创建自己的沙盒到自己环境的用户帐户。通过这种方式,它们不会影响其他用户或您的系统,并且您对其操作具有不可否认性(因此,如果他们做了一些愚蠢的事情,您可以让他们负责),并且他们打开的任何安全漏洞都将限制为销毁他们的文件而不是你的。
答案 1 :(得分:0)
CHMOD 777本质上是不安全的。它仅用于在安装脚本时暂时避免出现问题。在安装脚本之后,你将它恢复为类似755的东西。为了保护它,你必须将访问权限改为除了大开之外的东西。
要让用户裁剪图片,我建议使用像Jcrop
这样的传统javascript裁剪器