سلام دوستان گرامی

در اولین مطلب وبلاگ اشاره ای به حملات FILE UPLOAD داریم .

معمولا در حال حاضر کمتر وبسایتی را مشاهده میکنید که آپلودر کاربر محور نداشته باشد این آپلودر ها بیشتر برای تنظیم تصویر آواتار ، ارسال مدارک و…. میباشد متاسفانه بیشتر سیستم های مدیریت محتوا خصوصی دارای این آسیب پذیری خطرناک میباشند ، زمانی که هکر بتواند مسیر فایل آپلود شده و یا تصویر آپلود شده را مشاهده کند برای بای پس آپلودر و انتقال فایل مخرب (وب شل) اقدام مینماید و در صورت بای پس آپلودر به سرعت از سایت دسترسی کامل میگرد و میتواند تمام فایل ها و اطلاعات دیتابیس را در اختیار بگیرد . بیش از 60% دیتابیس های هک شده و پابلیک شده از طریق همین آسیب پذیری مورد ضربه قرار میگیرند .

راه حل چیست ؟

برنامه نویس محترم رعایت نکات زیر در استفاده از آپلودر در سایت بسیار حیاطی میباشد :

1 – فیلتر extension یا همان فایل تایپ ارسالی (در دو مرحله ارسال و ارسال هدر به سمت وب سرور)

2 – تغییر نام فایل ها پس از بارگذاری به صورت رندوم

3 – تغییر پسوند فایل پس از بارگذاری

4 – بررسی محتوای هدر فایل ارسالی

5 – عدم نمایش مسیر ذخیره سازی در صورت امکان

6 – ذخیره سازی فایل ها در یک سرور دیگر

7 – محدود کردن دسترسی به دایرکتوری ذخیره فایل ها

8 – تنظیمات سرور برای عدم اجرای extension های خطرناک مانند .php3 .php.jpg .jpg.php و ….

9 – تنظیمات سرور برای فیلتر محتوای فایل های اجرایی و مسدود سازی اجرای فانشن های خطرناک

متاسفانه در سالهای گذشته شاهد حمله هکر ها ، نفوذ و انتشار اطلاعات مهمی بودیم که بیشتر از طریق همین آسیب پذیری حمله رخ داده هست .

برنامه نویس عزیز پایه های امنیت مردم کشور در دستان توست به نکات امنیتی توجه کن .

با تشکر از زمان شما عزیزان منتظر مقالات دیگر باشید .

به امید فضای سایبری امن ایران جان

برچسب آپلود امن, آپلودر, امنیت, بای پس آپلودر, برقراری امنیت, نکات امنیتی