我正在尝试为我的组织开发一个内部的Shiny应用程序作为测试运行。 IT部门要求该应用程序必须安全Directory Traversal Attacks。不幸的是,我必须在Windows机器上部署Shiny应用程序。 (当前使用runApp)。 我已经搜索过但未找到实现避免目录遍历攻击的不同建议的方法。有人可以帮我吗?
答案 0 :(得分:0)
防止遍历攻击有两个方面。一次进入应用程序,一次进入系统。
对于该应用程序,您需要确保清除所有指向托管文件的输入。例如,如果您的应用程序允许用户调用images / supercool.png,则需要验证路径是否未更改为../../../../etc/psswd。
对于系统而言,这是权限分离的问题。被授予对runapp文件的访问权限的帐户也不应具有对系统文件的访问权限(超出绝对需要的范围。
我建议您使用闪亮的服务器或连接为您托管文件,特别是如果您不准备实现所需的安全性。
Rstudio为制作出优质的产品做了很多工作和出色的工作,并且正在继续添加新功能,包括围绕安全性/访问性的增强。