Hangi dosya türleri / uzantıları bir belge yönetim uygulaması için de izin verecek?

3 Cevap php

Ben bir tür doküman yönetim sistemi üzerinde çalışıyorum. Son kullanıcılar business class kullanıcılar vardır.

Ben şu vea kontrol ve dosyalar aşağıdakilerden biri yalnızca yüklenmesine izin:

"png|jpe?g|gif|xls|doc|docx|csv|ppt|txt|pdf|rtf"

benim sorular şunlardır -

  • Ben listesine "xml" eklerseniz? herhangi bir güvenlik sorunu neden olabilir?

  • Başka hangi belge türleri / uzantıları bunu içine ekleyebilirsiniz?

Veya

Ben NOT IN "exe|bat|php|js" kontrol ve diğer her türlü izin vermeliyim?

Önerileriniz için teşekkür ederiz.

3 Cevap

"Js | yarasa | | php exe" ve diğer her türlü izin I IN DEĞİL kontrol etmeliyim?

Hayır Beyaz Liste fişliyor daha iyidir. Hakkında bilmek olasıdır daha çok, çok daha tehlikeli filetypes vardır. Bu dört ancak yuzeysel.

Ben listesine "xml" eklerseniz? herhangi bir güvenlik sorunu neden olabilir?

Evet, [X] [HT] ML görev yaptı sitenin güvenlik bağlamında çalışır scripting ihtiva edebilir. Hangi verir (, kurabiye çalmak sahtecilik vb talep) sitenize JavaScript enjekte sitenize belgeleri yükleyebilirsiniz herkes.

Ancak ... aslında zaten yok, herhangi bir güvenlik sorunu katmıyor. Hatta filetype / uzantısı beyaz liste Çünkü, IE ve misbegotten tip-koklama sayesinde güvenli değildir. Bir .txt dosya yüklemek ve Content-Type: text/plain başlığı kullanılarak doğru bir şekilde hizmet, ancak IE HTML benzetiyor dizileri varsa, IE seni görmezden ve HTML olarak işlemek olacaktır olabilir - boom, XSS.

(Aynı gerçekten başka bir türü doğrudur ama. Txt en açık savunmasızdır.)

Bu karmaşa sabitleme için iki yaklaşım vardır:

  1. Farklı JS güvenlik bağlamlarda ve çerezleri veya kimlik doğrulama verileri paylaşmak kalmamak, ana uygulama siteye farklı bir hostname tüm kullanıcı tarafından yüklenen dosyaları hizmet vermektedir.

  2. onlar her zaman tarayıcı içinde görüntülenen indirilebilir değil olacak, böylece Content-Disposition: attachment başlığı ile tüm kullanıcı tarafından yüklenen dosyaları hizmet vermektedir.

(2) kendi su geçirmez olmalı, fakat pratikte geçmişte nedeniyle tarayıcı ve eklenti patlatır etrafında yolu olmuştur, bu yüzden ben tamamen ona güven emin değilim. (1) kendi XSS durur, ama sitelerini sömürmek için iframe içeren HTML dosyaları gibi diğer nasties durmuyor.

Bu yüzden ikisini de yapmak en iyisidir.

, Pptx ve benzer dosyaları xlsx, yeni MS Office formatları geri kalanını unutmayın.

Güvenlik riski gelince, / bu dosyaları erişilebilir nasıl yere bağlıdır. Bir belge yönetimi açısından bakıldığında, XML ben varsayılan tarafından kabul olur bir şey olmaz, ama gerekli görebiliyordu.

Eğer içeriğin yayınlanmasını korumak sürece ben, bir joker listesi hariç yapmazdı.

Add the new MS Office doc extensions and the open office docs and you probably are good to go. Perhaps adding Zip/Rar archives is an option too but you should consider restricting direct access to the files then.

Belki de yeni belge türleri istek üzerine eklenebilir koßulu olduğunu net bir mesaj ve link ekleyerek çok yardımcı olabilir?

etiketler