【发布时间】:2023-03-29 09:41:01
【问题描述】:
我有一个 PHP 网站,我想知道让用户上传 .SWF 文件是否安全?
如果是,我能做些什么来让它 100% 安全吗?
【问题讨论】:
【发布时间】:2023-03-29 09:41:01
【问题描述】:
一般来说,允许用户上传任何可能以某种形式(无论是二进制文件还是脚本)可执行的文件是很危险的。根据用户的需要,可能有一种安全的方法。
只要用户不需要执行 .SWF 而只是存储它们,您就可以简单地从文件中删除位于服务器上的可执行位。这样文件就不能在你的服务器上执行了。
您必须解决的问题是,用户上传了针对其他用户而不是您的服务器的恶意 SWF。即使您删除了可执行位,用户仍然可以诱骗其他用户下载并执行存储在您服务器上的 SWF。要解决此问题,您应该坚持让用户登录才能访问他们的文件,或者至少是 SWF 文件。这样,如果没有有效的会话,别人就无法访问它。
文件不被您的服务器执行是很重要的。 Flash 因漏洞而臭名昭著,您不希望被上传恶意 SWF 以执行到您的服务器的用户 Pwned。
【讨论】:
-
是的,我希望用户上传和“播放”它们,我看到一些网站这样做,但如果像你说的不是 100% 安全,我会找到替代方案。谢谢
-
工作量很大,但您可以做的一件事是将上传的文件传输到沙盒系统,然后播放。然后根据视频输出重新录制。然后你是生成文件的人,你知道没有恶意。如果该文件是恶意文件,它将影响您的另一台机器而不是您的服务器。在另一台机器上使用虚拟机,并在每次尝试后将其擦干净。就像我说的那样,工作量很大,但这会对您的安全产生奇迹。