Voglio sapere se posso consentire il caricamento di tutti i tipi di script e aggiungere queste regole a una configurazione di host virtuale; quindi per favore avvisami e dimmi se ci saranno degli exploit che possono essere usati per bypassare queste regole di sicurezza (se sì per favore come bloccarle)
Grazie in anticipo, Forse a questa domanda è stata data risposta in precedenza, ma non so come ottenere i risultati corretti.
Ci sono alcune cose che puoi fare per mitigare il rischio:
Prova a caricare i file su un percorso esterno a webroot
Ad esempio, se ospiti il tuo sito su /var/www/myserver/html , crea i file di scrittura dello script di caricamento PHP su /var/www/myserver/data .
In questo modo, Inclusione file locali non funzionerà, poiché i file inviati si trovano all'esterno della radice del server.
Non utilizzare Mime Type o estensione file per determinare il tipo di file
È facile falsificare Mime Type ed estensione del file. Invece, usa le funzioni PHP Fileinfo per identificare il file.
Non memorizzare i file con il nome file originale
Rinominare sempre il file in qualcosa di imprevedibile, come un salato con hash. Fare ciò rende più difficile a un utente malintenzionato prevedere e utilizzare il file che ha appena caricato.
Assicurati che i tuoi messaggi di errore non stiano perdendo dati
Se il tuo messaggio di errore dice File webshell.avi not found on /var/www/myserver/data , stai perdendo informazioni preziose. Su un server di produzione, non abilitare la segnalazione degli errori o inviarli a te, non al client.
Utilizza uno script per leggere i file e inviare i dati al client
Non collegarti direttamente ai file, ma chiedi a uno script di leggerli. In questo modo puoi disinfettare i dati prima di inviarli e i file non elaborati dal tuo server.
Leggi altre domande sui tag php file-upload host-discovery