Ahoj, dělám na webu, kam by měli uživatelé možnost nahrávat své
šablony na web. Nápad je takový, že bude na nahrané soubory složka, ve
které bude mít každý uživatel svou složku, kam bude moci pomocí webového
rozhraní nahrávat soubory. Ale myšlenka, že má uživatel kontrolu nad byť
částí reálného souborového systému mě děsí. Existuje nějaký způsob,
jak se ubránit útokům?
Jako první mě napadlo vypnutí jakýchkoliv skriptů. Blacklisting je
nespolehlivý, takže předpokládám whitelisting obsahu. Ale čeho přesně?
Přípony jsou mimo hru, ale četl jsem, že i kontrola hlavičky souboru je
nespolehlivá. A to byla ochrana proti obrázkům...
Já potřebuji ochranu proti HTML, JS, CSS, prostě čehokoliv, co patří k
webové šabloně.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.