如果应用程序的用户能够提交平面文本文件,并且这些文件使用正则表达式(然后返回给用户)由程序从中提取数据,那么如何滥用这些文件?
我知道可执行文件或未经文件化的文件名在被保存时存在问题,但我不知道打开并解析暂时存储在内存中的文件会带来什么风险
感谢。
答案 0 :(得分:0)
这在很大程度上取决于这个理论体系的实施。最大的两个漏洞是:
SQL Injection。如果要将此数据提交到数据库并以不正确的方式执行此操作,则可以将数据库公开给用户上载的任何恶意格式的数据。
Cross-Site Scripting。如果您将上传结果呈现为HTML,则可能会在未正确转义结果的情况下允许XSS漏洞。
正确处理用户输入可以减少这些问题。通常,虽然很大程度上取决于代码的实际实现细节。如果您eval用户输入,显然,这也是一个巨大的安全漏洞......但这不是我们在这个详细程度上可以看到的东西。