PDA

View Full Version : اگه کاربر قادر به ارسال فایل css شخصی به سایت باشه ممکنه خطر ساز بشه؟



[younes]
شنبه 18 مرداد 1393, 19:25 عصر
اگه کاربر قادر به ارسال فایل css شخصی به سایت باشه ممکنه خطر ساز بشه؟

و استفاده به صورت فایل css منابع پردازشی کمتری هدر میده و یا ذخیره و بازیابی از بانک اطلاعاتی؟

[younes]
یک شنبه 19 مرداد 1393, 15:28 عصر
لطفا یکی کمک کنه

abolfazl-z
چهارشنبه 22 مرداد 1393, 00:28 صبح
نگاه کنید از نظر من امن نیست و نمیشه اختیارات کامل را به کاربر داد. شما باید بصورت دستی و کاملا مدیریت شده به کاربر اجازه ارسال Css را بدهید.

البته من که از پروژه شما خبری ندارم شاید استفاده از این ویژگی ضرری نداشته باشد ولی ممکن هست از نظر امنیتی مشکل پیدا کند !

[younes]
چهارشنبه 22 مرداد 1393, 00:36 صبح
مثلا ممکنه کاربرای حرفه ای یه سری کد مخرب تزریق کنند که در سمت سرور اجرا بشه؟

مثل استفاد از کد php در یک تصویر که وب سرور اون رو اجرا میکرد؟

اگه ممکنه سوال دوم پست اول رو هم جواب بدید

2undercover
چهارشنبه 22 مرداد 1393, 09:39 صبح
;2080756']مثلا ممکنه کاربرای حرفه ای یه سری کد مخرب تزریق کنند که در سمت سرور اجرا بشه؟

مثل استفاد از کد php در یک تصویر که وب سرور اون رو اجرا میکرد؟

اگه ممکنه سوال دوم پست اول رو هم جواب بدید

بله میشه کاری کرد که با استفاده CSS یک فایل PHP رو در سرور اجرا کرد. مثلا میشه کاری کرد که فایل logout.php اجرا بشه و کاربر از سایت بیاد بیرون که البته فکر می کنم با استفاده از Token قابل حل باشه:


.image {
background-image: url(../logout.php);
}


هم چنین با استفاده از CSS میشه کل محتویات صفحه رو مخفی و یک عبارت دلخواه که توی فایل CSS هست رو به کاربر نشون داد. که البته مشکل امنیتی نیست ولی به هر حال ممکنه مهم باشه.

کاملا واضحه که استفاده از فایل منابع کمتری رو هدر میده.

abolfazl-z
چهارشنبه 22 مرداد 1393, 09:51 صبح
دوست عزیز اصلا چنین کاری امن نیست و ممکن هست خطر ساز باشد.

مثلا با Expressions در css در internet explorer 5.0 میتونین در فایل های Css از جاوا اسکریپت استفاده کنید.

بهترین کار و بهترین امنیتی که میتونین برای اینکار در نظر بگیرید تنظیماتی را از قبل تعریف کنید و کاربر با توجه به اون تنظیمات و فیلتر های مربوطه اقدام به ساخت فایل CSs کند.

مثلا می گویید فقط استفاده از color,font,size برای استفاده از Css با مقادیر فلان قابل استفاده است و کد های دیگر مجاز نیست این باعث می شود تا از صحت کد ها اطمینان پیدا کنیم.

بر فرض مثال ممکن هست در آینده شما خبر دارد نشوید و یک دستور css جدید وارد شود که مقدار کوکی را دریافت می کند و یا اطلاعاتی را به سرور بفرستد و ...

سوال دوم را واضح تر بیان کنید.

Ahmad0098
پنج شنبه 23 مرداد 1393, 00:37 صبح
واقعا پاسخ شما منطقی و قانع کننده است
کلا اگه ایشون بتونن از دونوع سرور استفاده کنند چه طور؟ این منطقی هست؟

[younes]
پنج شنبه 23 مرداد 1393, 01:03 صبح
مرسی گزینه خوبی هست چون میخوام فقط فایل سی اس اس کاربرام رو میزبانی کنم

دوستان لطفا نظراتتون رو بگید

2undercover
پنج شنبه 23 مرداد 1393, 07:18 صبح
;2081481']مرسی گزینه خوبی هست چون میخوام فقط فایل سی اس اس کاربرام رو میزبانی کنم

دوستان لطفا نظراتتون رو بگید

البته اگر می خواهید که فایل های CSS کاربران رو میزبانی بکنید که توی سایت یا بلاگ خودشون استفاده بکنند، فکر نمی کنم مشکل امنیتی به وجود بیاد مگر این که قسمت آپلود فایل ها نا امن باشه. این چیز هایی که گفته شد برای هنگامی بود که به کاربر اجازه بدید فایل CSS سایت رو تغییر بدهند.

abolfazl-z
شنبه 25 مرداد 1393, 22:51 عصر
;2081481']مرسی گزینه خوبی هست چون میخوام فقط فایل سی اس اس کاربرام رو میزبانی کنم

دوستان لطفا نظراتتون رو بگید

شما همان اول گفتید که می خواهید در سرور دیگری این عمل را انجام دهید ؟

ali2k5
جمعه 07 آذر 1393, 22:42 عصر
نه مشکلی ندارد کلا css هم جزو موارد کلاینت ساید است و میزبانی و شخصی سازی ان توسط کاربر مشکلی برای امنیت ایجاد نمی کند.

رضا قربانی
دوشنبه 10 آذر 1393, 21:02 عصر
ببینید بعضی از هکرها میان به سایت آقای قربانی نفوذ و وارد ادمین سایت میشن و دیگه حوصله جونگولک بازی رو ندارن که شلر آپلود و فایل های سایت قربانی رو حذف یا ویرایش کنند ،،، مستقیما داخل ادیتور یه دستور css مستقیم <style> .کد های سی اس اس با تصاویر از سایت دیگه. </style> قرار میدن و میگه سایت هک شده ،

پس مهم اینه که هکر طراح سایت ما : با یه دستور css ساده اومده داخل صفحه اصلی سایت رسمی شرکت شما اسکرول رو حذف کرده و یه عکس باحال گذاشته با بکگراند قرمز :لبخند:

شما هک شدید (باید جولو هک شدن سایت رو بگیری تا به css شما نفوذ نکنن تا فایلی از سرور دیگه ای فراخوانی نشه)

فایل css که بهونه هست و token و این چیزا زمانیه که طرف به تمامی اطلاعات سایت شما دسترسی داشته باشه و شما دیفیس شده باشید .