• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Upload a bezpieczeństwo

VPS Starter Arubacloud
+2 głosów
159 wizyt
pytanie zadane 18 lutego 2021 w PHP przez Bartosz Bogusławski Nowicjusz (140 p.)

Pracuję obecnie nad stroną internetową, w której istotną rolę odgrywa upload plików. Chciałbym zabezpieczyć serwer, tak aby zminimalizować wszelkie potencjalne zagrożenia.

Wyodrębniłem obecnie trzy zagrożenia, proszę o porady. 

 

  • Iniekcja (wstrzyknięcie kodu) - wiem, że dobrym rozwiązaniem będzie walidacja podczas przetwarzania danych. Czy to wystarczy? 
  • Steganografia - na serwer będą Upload'owane pliki w formatach jpg, jpeg, gif, png. Chciałbym unikać wszelkich ukrytych treści w plikach, aby chronić serwer, użytkowników oraz siebie. Przeczytałem na paru stronach, że dobrym rozwiązaniem jest sprawdzenie sygnatur plików oraz porównywanie rozmiaru z wzorcem, a także można by zastosować kompresję stratną na poziomie 80% (ponoć optymalnie) aby wstrzymać potencjalnie niebezpieczną zawartość. Doradźcie proszę w tej kwestii.
  • Ataki DOS/wielokrotne zapytania - wpadlem na pomysl, ażeby zapisywać w bazie adresy IP oraz mac i przypisywać im ilość zapytań w ciągu sesji lub określonym odcinku czasu np. 0.5h. Po przekroczeniu jakiejś krytycznej liczby np. 1000 zapytań mógłbym czasowo blokowac ip/mac. To dobre rozwiązanie?

Proszę o doradzenie i parę wskazówek. 

Podobne pytania

0 głosów
1 odpowiedź 126 wizyt
0 głosów
0 odpowiedzi 175 wizyt
pytanie zadane 11 czerwca 2023 w PHP przez Mariusz Szczerba Nowicjusz (120 p.)
0 głosów
0 odpowiedzi 289 wizyt
pytanie zadane 30 kwietnia 2021 w PHP przez misiek.sz Bywalec (2,050 p.)

92,453 zapytań

141,262 odpowiedzi

319,088 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...