@Narts

Инъекция файлом?

Всем привет!
Пользователь может загрузить фотку на сервер. Далее бэк эту фотку загружает на стороннее хранилище и удаляет у себя эту фотку. Вопрос такой: может ли пользователь через этот файл загрузить какую-нибудь инъекцию?

В теории можно загружать только фотографии. Поэтому, при получении файла проверяется тип MIME, размеры фотографии и размер файла.

Какой потенциальный вред могут нанести хацкеры и как можно защититься от этого?
  • Вопрос задан
  • 213 просмотров
Решения вопроса 3
saboteur_kiev
@saboteur_kiev
software engineer
Поэтому, при получении файла проверяется тип MIME, размеры фотографии и размер файла.

А имя?, например картинка с именем ../../bash

А содержимое? https://habr.com/ru/news/t/504746/

на 100% защититься сложно. Минимально - проверять картинку на корректность. Например выполнять ее ресайз графической утилитой или библиотекой. Удалось - значит как минимум картинка.
Ответ написан
Комментировать
@none7
4 года назад ImageMagick

Защитится от такого можно только урезая права и время жизни приложений занимающихся обработкой ввода пользователя. В общем контейнеры являются типовым решением для запуска дырявого ПО. Ну или микросервисы, сейчас WebAssembly в эту сторону толкают.
Ответ написан
Комментировать
Curosio
@Curosio
Бездельник широкого профиля
Может быть просто делать копию картинки с нужным ресайзом, а оригинал удалять? Тогда вредоносный код точно не пройдет. Ну и хранить в папке, где нет прав на выполнение файлов.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы