جلوگیری از هک سایت از طریق فایل آپلود (Asp.net web forms)
سلام ، من یک سایت طراحی کردم که کاربران امکان ارسال عکس را داشتند و در قسمت کد نویسی مشخص کردم که فقط فایل های تصویر با پسوند jpg یا jpeg پذیرفته شوند اما بعد ها شخصی سایت رو هک کرد و یک صفحه ی دیگه به وجود آود و بعدا با خود شخص صحبت کردم و گفت مشکل از قسمت آپلود سایت من و بخشی هم از سرور است و یک فایل php از طریق فایل آپلود یا یک افزونه مرورگر آپلود کرده ؛ چطوری جلوی حملات شل رو بگیرم و فایل آپلودم را ایمن کنم ؟
1 پاسخ
سلام
1-تو فایل .htaccess مشخص کن که فقط این پسوندها اجازه دسترسی دارند.
2- فایل .htaccess رو در پوشه مادر قرار بده و مکانی که فایلهات آپلود میشن رو جدا از مسیر .htaccess مشخص کن مثلا پوشه uploads.
3- یک نوع .htaccess مشخص کن که فقط پسوند های jpg , png jpeg باشن مثل:
deny from all <Files ~ “^w+.(gif|jpe?g|png)$”> order deny,allow allow from all </Files>
4- اگه میتونی مسیر آپلود فایلهات رو خارج از سرور وب قرار بده.
5- از بازنویسی فایلها جلوگیری کن تا کسی نتونه .htaccess رو دوباره نویسی کنه یا حد اقل مجوزش رو بزار روی 755
6- یک لیست قابل قبول از mime-type مشخص کن.
7- فقط روی تصدیق client-slide تکیه نکن به طور کلی هم باید server-slide باشه هم client-slide
موفق باشید.