Tumblr 允许用户通过模板系统编辑其博客的 HTML 和 CSS。事实上,它甚至允许用户将自己的外部脚本包含到他们的页面中。这样做显然会给 Tumblr 带来很多安全漏洞。但是,它显然做得很好。更有趣的是,Tumblr 的团队以前是如何通过 LAMP Stack 做到所有这些的。
我通过 ping 不同的 Tumblr 站点发现的一件事是博客站点分散在多个服务器上。
尽管如此,仅入侵其中一个服务器的根目录可能会危及大量数据。此外,虽然有些人可能会争辩说 Tumblr 可能只是在其每个博客网站上进行手动检查,但由于 Tumblr 拥有的数据量,Tumblr 的团队这样做似乎仍然非常冒险且不切实际。正因为如此,我认为手动检查还没有涉及到一些方面,尤其是 Tumblr 团队如何在用户输入进入数据库之前对其进行过滤。
我的主要问题:Tumblr(或任何其他类似网站)如何过滤其用户输入,从而防止黑客攻击和利用?
【问题讨论】:
标签: security filter xss sql-injection backend
Tumblr 是一种微博服务,它允许其用户在其网站上发布多媒体和短文本博客。
每个博客服务都允许其用户编辑和共享内容。同时,他们还允许用户根据他们提供的服务类型来设置博客样式。
例如,公司博客永远不能以花园图片作为背景,同时店主永远不能展示海滩图片;除非他们出现在那个地方或在他们的作品中包含这些对象。
好吧,他们只是不断检查文件是否有任何错误!
作为一个通用的博客平台。有必要允许用户上传博客并为其设置样式。同时,公司有责任控制其服务的使用方式!
所以 Tumblr。对这些事情有很好的记录。他们也不允许上传感染系统的文件,并且众所周知,如果发现任何可疑的文件,就会删除此类帐户!
Tumblr。允许用户上传用于设置博客样式的文件和多媒体。他们使用了一个单独的平台来保存所有这些文件!因此,当您上传它时,它不会在他们的系统上执行。他们从服务器或保存这些文件的硬盘访问它,然后为您提供包含这些文件的博客。
我也会这样做,我会首先将文件上传并保存在一个单独的地方,如果执行这些文件,如果被病毒感染,它们不会损害我的系统。并非所有用户都上传病毒。但是一旦他们这样做了,您应该使用防病毒系统来检测和删除病毒,同时阻止该帐户。
我会让用户使用我的服务,现在用户的工作是上传内容,而我的工作是防止黑客入侵。
【讨论】:
所有这些东西(HTML/CSS/外部脚本)都不能在 Tumblr 机器上运行。所以对他们来说没关系。一个负责在您自己的 PC 上运行的东西。至于 Javascript,它存在于沙坑中
【讨论】: