جلوگیری از اجرای فایل ها - Deny execute codes [بایگانی]

View Full Version : جلوگیری از اجرای فایل ها - Deny execute codes

tba.tabar

شنبه 20 اسفند 1390, 23:02 عصر

درود فراوان؛

برای جلوگیری از هک چند منظوره سامانه، در هنگام آپلود فایل ها تمامی موارد امنیتی و validation فایل های را انجام میشه که به خود از پس بیشتر هکر بر می آید. اما به هر حال مورد به اینجا ختم نمیشه و در هر صورت بایستی تدبیری اندیشید که فایل های اجرایی (server side) در پوشه مشخص اجرا (execute) نشوند.

البته این مورد غیر ممکن نیست، چون قبل ها به کمک web.config انجام داده ام. اما متاسفانه به دسته فراموشی سپرده شده...

دوستان اگر تو این ضمینه اطلاعاتی دارند ارائه بدهند.
با تشکر از همگی.

fakhravari

شنبه 20 اسفند 1390, 23:34 عصر

هک چند منظوره سامانه یعنی چی.
امکان اپلود فایل منظورتون؟
برسی FileUpload1.PostedFile.ContentType.ToString();

tba.tabar

دوشنبه 22 اسفند 1390, 20:46 عصر

دوست عزیز ممنون از پاسختون. بهتره ذهنمون رو درگیر موارد امنیتی نکنیم.
ایده ای برای غیر قابل اجرا شدن فایل ها توسط سرور (server side) دارید که به کمک web.config باشه؟

Ehsan Boorboor

دوشنبه 22 اسفند 1390, 21:02 عصر

می تونید handler ایجاد کنید

tba.tabar

دوشنبه 22 اسفند 1390, 22:28 عصر

ممنون از پاسختون
موردی که به ذهن بنده رسید کد ذیل بود:

<add verb="*" path="*.*" type="System.Web.StaticFileHandler"/>

دوستان اگر باز هم ایده-ای دارند لطفا ارائه بدهند.

Saman Hashemi

سه شنبه 23 اسفند 1390, 08:59 صبح

به فولدر دسترسی Read و Write بدید و دسترسی Execute برای فولدر مورد نظر از روی IIS بردارید...!