Какие уязвимости могут тут быть?

Question

[zahar22]

У меня есть загрузка csv-файла, в котором хранится два столбца: имя файла и его содержимое. Что-то вроде:
test.html | Hello, world
a.txt | привет

После того, как файл загрузили, я кидаю в папку эти файлы с их содержимым.
Какие тут могут быть проблемы? Заранее спасибо

Comments

[v3shin]

Где лежат файлы, которые вы куда-то кидаете? "Кидаете" значит "копируете" или "перемещаете"?

Answer 1

[coderisimo]

Если файл csv , то это текст с разделителями. Т.е , если сам текст не экстремистский, то ничего страшного произойти не сможет )
Или уточните вопрос.

Comments

[zahar22]

Да, csv это текст с разделителем, но мы загружаем на сайт файлы, записанные в нем. То есть если мы напишем index.php и запишем туда какую-нибудь белеберду, то это файл с белебердой будет хранится на сервере.
Мне интересно какие именно атаки могут произойти(SQL-инъекции, или XSS-атаки или еще что-то)

[coderisimo]

zahar22, сам по себе файл не кусается. Его нужно сделать исполняемым и выполнить. Соотвественно, если. кто попало не проделает эти манипуляции бояться нечего. Но ведь , кто попало и не имеет доступа к фолдеру с этими файлами ?

Превентивно можно ограничивать права на запуск средствами ОС.

[Ярослав]

zahar22, то есть, вы сохраняете файл с именем, которое захотел пользователь? лучше не надо так. придумывайте сами имя файла на лету (как в формате Maildir делается). хоть по unixtime + pid + random + sequence.

Если очень важно, как файл назывался у юзера - храните где-то табличку транляции (как назвал юзер, с каким именем сохранили вы). Чем более сложный у вас механизм защиты, тем более вероятно что когда-нибудь что-нибудь от него отвалится, а вы и не заметите. Поэтому лучше исходно не допускать рисков, которые вы будете "прикрывать".

Answer 2

[Северное Сияние]

лучший способ проверить, является ли файл допустимым CSV-файлом, — попытаться проанализировать его

https://stackoverflow.com/questions/3739013/verify...

+ php_flag engine off на диру с загруженными файлами

Answer 3

[Ярослав]

cross site request forgery (наиболее вероятно и достаточно опасно)
clickjacking (хотя он тут не кажется опасным)
возможность забить ваш диск большим количеством файлов (если на виртуалке 20 гигов, то передать 20 гиг скриптом можно быстро)
возможность залить какой-то ненастоящий CSV
если (самое ужасное) имя и-или путь к файлу как-то зависит от пользователя (от данных в форме) - возможность перезаписать другие доступные файлы

Answer 4

[R3n0]

Привет.

Да, csv это текст с разделителем, но мы загружаем на сайт файлы, записанные в нем. То есть если мы напишем index.php и запишем туда какую-нибудь белеберду, то это файл с белебердой будет хранится на сервере.
Мне интересно какие именно атаки могут произойти(SQL-инъекции, или XSS-атаки или еще что-то)

Отталкивайтесь от максимально возможного риска, что в данном случае будет шеллом (в идеале - однострочником). Ну и, в зависимости от реализации/обстоятельств, можно ещё на CSV-инъекции обратить внимание.

В остальном - зависит уже от конкретных деталей реализации этого функционала.

Answer 5

[mletov]

Если содержимое .csv в базу запросом сохранять, то можно еще в тело csv "DROP DATABASE" вписать