我想让我的Web应用程序对我的Web服务器上的特定文件夹进行写访问。我的Web应用程序可以在此文件夹上创建文件,并可以将数据写入这些文件。但是,Web应用程序不向用户提供任何接口,也不会公开它可以创建文件或写入文件的事实。我是否容易受到任何安全漏洞的影响?如果是这样,他们是什么?
答案 0 :(得分:1)
让您的服务器被欺骗将恶意文件写入该位置是您无法容忍的。
可以从中获得的问题取决于该文件夹发生的情况。
然后可以托管恶意文件,例如窃取cookie或提供恶意软件。
这将是疯狂的。不要这样做。
考虑如果将恶意文件放在那里会发生什么。比方说,恶意PDF会输入您的PDF处理系统,然后会执行一些PDF错误导致某些恶意代码被执行,然后它就会全部结束。
基本上,您将自己暴露给潜在的问题就像我说的那样 - 该位置的恶意文件。您可以仔细思考该文件夹中发生的事情,以及它的曝光程度,并自行决定它的风险程度。
确定这些风险后,您就可以决定如何继续。显然,您可能不允许直接上传到该区域,因此您可以认为风险显着降低,因为您基本上评估某人已在您的网络服务器中发现错误的情况让他们在没有你提供访问权限的情况下告诉它在某个地方保存一些文件。我不敢说这些类型的问题不是数百种。可能有。因此,通过确保其中的文件夹和文件以受限制的方式使用,并且如果可能的话,检查它们是否是“好”文件,最小化该文件夹中文件的风险是合适的。