Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

jonata

como proteger de verdade as pastas do sistema contra ataques!

Por , em PHP

Recommended Posts

jonata    0

jonata
Postado

bem...

 

Fiz um site para um de meus clientes, um site de notícias.... com área restrita para os usuários que lançam notícias e fotos (upload restrito ) . O site também tem uma página onde qualquer usuário pode enviar seu currículo e foto (upload público )...

 

As permissões destas pastas que recebem estes arquivos está 0777, ai está o problema!

 

Se eu colocar outra pemissão, por exemplo, 775,711... não dá.

 

conheço a formação das permissões, porém gostaria de saber técnicas eficiêntes de proteção e as permissões corretas de fato para que os uploads de arquivos possam ser feitos com segurança contra descarga de arquivos maliciosos!

 

uso o cpanel....

 

 

abraço!

Compartilhar este post

Link para o post
Compartilhar em outros sites

jonata    0

jonata
Postado

Pessoal, cadê vocês!

 

quero saber como fazer upload seguro... com permissão 0777 ou não

 

não quero fechar este post e abrir outro com o mesmo contexto

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rasp    3

Rasp
Postado

jonata,

Se eu entendi bem... você quer fazer um upload com bloqueio de arquivos maliciosos usando das permissões do servidor? é isso?

 

Caso seja... você não tem como bloquear tipos de arquivo utilizando permissão das pastas... outra coisa... quanto a permissão, 777 você dá permissão total, aconselharia você a deixar somente leitura e gravação... quanto a limitação de arquivos, você pode procurar aqui no fórum em laboratório de scripts que você entrará exemplos que utilizam limitações para determinados tipos de arquivos, que creio eu q seja a melhor forma... já que não há necessidade de poder subir um arquivo ex do tipo .exe.

 

Espero ter ajudado em algo.

Compartilhar este post

Link para o post
Compartilhar em outros sites

jonata    0

jonata
Postado

Bem ...

 

foi quase isto....

 

eu quero proteger os diretórios contra importação de arquivos maliciosos, não por upload pois já desenvolvi meu script para isto!

 

quero conhecer métodos de segurança contra invasões, leitura de minhas páginas e scripts...

 

 

abraço!

Compartilhar este post

Link para o post
Compartilhar em outros sites

hinom    5

hinom
Postado

basta verificar o MIME-TYPe dos arquivos que estão sendo enviados

 

permita apenas os que estiverem numa lista pré-definida

 

por xemplo,

se num formulário o usuário pode enviar fotos, então permita somente imagens

 

não faça a validação pelo nome do arquivo mas sim pelo cabeçalho.

 

se permitir que outros usuários enviem arquivos PHP e permitir a execução destes, basta restringir o nível de acesso de execução

Compartilhar este post

Link para o post
Compartilhar em outros sites

jonata    0

jonata
Postado

opa hinom, ainda não é isto....

 

esquecendo o php....

 

quero proteger os diretórios. Quais as permissões certas para arquivos e pastas do site?

 

bem, não conheço httpacess, que por exemplo protege os diretórios

Compartilhar este post

Link para o post
Compartilhar em outros sites

hinom    5

hinom
Postado

em biente linux, o rasp já explicou sobre o nuemro adequdo para o chmod

 

quanto a outras questões

 

depende o webserver que está usando

 

cada um tem regra específica

 

apache, iis, xitami, etc..

Compartilhar este post

Link para o post
Compartilhar em outros sites

jonata    0

jonata
Postado

sim, mas....

 

de acordo com o raspa ainda não está protegido pois ainda tem a gravação, ou seja, um usuário malicioso pode transferir uma arquivop para a pasta já que está com chmod 0777

 

 

uso o apache como webserver

Compartilhar este post

Link para o post
Compartilhar em outros sites

Rasp    3

Rasp
Postado

Opa jonata,

Então cara... para você utilizar um sistema de upload com servidor apache, a permissão da pasta deve ser 777, para que você consiga gravar os arquivos pelo upload, ler e executa-los em sua aplicação...

 

Quanto ao fato de algum usuário fazer transferência de arquivos para sua pasta (se estiver errado me corrijam) é via seu script php, e caso isso aconteça o mesmo deve estar vulnerável ou então via servidor, hackeando o mesmo que também acho que não irá despertar o interesse de ninguém em perder tanto tempo hackeando um servidor para colocar algum arquivo malicioso, até porque se hackearem o servidor, não iriam perder tempo colocando arquivos e sim roubando seu banco de dados por completo, ou então apagando totalmente todos os arquivos na pior das hipóteses.

 

Logo acho que você não deveria ter uma preocupação tão grande ao fato da permissão da pasta e sim no nível de proteção de sua aplicação, limitando os usuários que podem ou não fazer upload, funções anti-injection, utilizar chmod para não exibir o conteudo da pasta, etc.

 

 

Qualquer coisa post!!

Mais uma vez se estiver errado me corrijam por favor.!

 

Abss

Compartilhar este post

Link para o post
Compartilhar em outros sites

hinom    5

hinom
Postado

o uso de permissão 777 não tãooo crítico assim

 

a não ser que um usuário mal-intensionado tenha acesso local ao server e aos diretórios cujas permissões estejam como 777

essa questão já foge um pouco do assunto php.

sugiro que pesquise sobre conceitos básicos de segurança em ambientes linux, para esse seu caso em espeícifico.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito