Lettura / Scrittura del contenuto dei file - cosa può accadere?

3

Sto configurando un sistema semplice che utilizza un server HTTP che sta scrivendo i dati in entrata in file JSON in una directory specifica. Questo funziona come uno pseudo-database molto semplice. Per semplicità, ipotizza Java e nessun exploit diretto sul software server stesso: gli utenti possono inviare JSON, è scritto in un file specifico e possono richiedere il contenuto di tutti quei file.

Mi manca un grosso problema di sicurezza qui? Gli utenti possono in qualche modo abusare di questo design per ottenere l'accesso in qualsiasi modo?

Se si chiama questo database, il mio timore è un vettore di attacco simile all'iniezione SQL.

Se il sistema operativo è importante (che suppongo sarebbe), un focus su Windows e Linux / Unix sarebbe bello.

    
posta Hard.At.Sleep 28.03.2016 - 20:21
fonte

1 risposta

3

Se capisco cosa stai facendo correttamente questo è un database implementato come servizi. Se i dati sono sensibili, la mancanza di autenticazione può comportare significativi problemi di sicurezza. Gli utenti possono leggere i dati degli altri, sovrascrivere i dati importanti ed eventualmente copiare tutti i dati in una massiccia violazione della sicurezza.

Oltre ai problemi di autenticazione potresti avere problemi se qualcuno vuole eseguire un attacco di tipo Denial of Service sul tuo sito. Senza controlli adeguati è possibile scrivere un flusso di dati e riempire un disco su cui fa affidamento il server.

A seconda di come vengono recuperati i dati (se le richieste non sono disinfettate) l'utente può usare costrutti come i path seperators per scaricare file importanti sul sistema operativo (/ etc / password per esempio). Se l'utente ha il controllo del nome del file che viene scritto in ogni caso, potrebbe anche utilizzare gli exploit dei percorsi per sovrascrivere i file sensibili che consentono loro l'accesso.

    
risposta data 28.03.2016 - 21:29
fonte

Leggi altre domande sui tag