Mostra il percorso completo di un file scaricabile

Naviga le tue risposte
0

Sul sito Web della società per cui lavoro sono file che possono essere scaricati. Nella pagina, dove puoi scaricare quel file, puoi anche vedere il percorso completo sul server stesso del file, ad es. %codice%. Sembra essere come un'informazione accanto al link di download di quel file.

Il collegamento del file scaricabile è gestito da un gestore di download. Quindi quando vai al link di download di quel file, vedrai qualcosa come /var/www/homepage/path/to/downloadable/file . Questo http://page/download/?downmanid=[number]&ind=[bigRandomAlphaNumValue] sembra essere una sorta di controllo. Non è possibile scaricare il file, se si modifica tale valore.

Ma ora dal punto di vista della sicurezza: cosa fare a proposito di questo percorso interno completo di quel file scaricabile? Dovrei essere preoccupato?

    
posta kristian 15.03.2017 - 11:20
fonte

1 risposta

2

Penso che dovresti essere preoccupato. Fornisce informazioni sul server che ospita il sito Web della tua azienda. Ad esempio, a seconda del percorso, potrebbe contenere nomi utente unix o fornire suggerimenti su come sfruttare la vulnerabilità di attraversamento di percorsi rilevata nel sito Web.

C'è qualche motivo per mostrare il percorso completo del file? Perché non solo il nome del file?

    
risposta data 15.03.2017 - 12:38
fonte

Leggi altre domande sui tag

Anonimato dei voti al voto con gli hash BCRYPT PCI DSS v3: archiviazione dei dati del titolare della carta