→ imhaha: 這文章數對比登入次數 還蠻猛的05/25 22:40
→ sa0124: 放github不就好了嗎05/25 22:58
→ banana2014: 我是說這樣做會有什麼問題,又不是說真的有這個網站05/25 23:11
推 blakechiang: 允許上傳.js檔? 你認真的嗎05/26 07:18
請問會怎樣嗎?
我一直很想知道這有什麼問題…
→ ccvs: 推一樓..05/26 11:01
※ 編輯: banana2014 (60.249.6.58), 05/26/2016 11:39:10
→ Neisseria: 這樣不就剛好開門給人 XSS 嗎?05/26 12:09
你好
假設我只是讓他們單純上傳.js和網頁檔上去,
不曉得他們要怎麼「注入程式碼」到我的網站主要頁面?
→ blakechiang: 不會怎樣 大概就是提供初中高階駭客一個溫馨的測試環05/26 16:29
→ blakechiang: 境05/26 16:29
→ blakechiang: 病毒都能偽裝成image檔了,你允許那些類型跟自殺有8705/26 16:31
→ blakechiang: %像05/26 16:31
你好
他們有可能會用什麼方式去運用這個「溫馨的測試環境」呢?
因為.js和.txt檔本身打開並不會執行任何東西,
一定要打開.htm和.html才能執行.js裡的程式
又js檔本身是在客戶端方面執行,
ajax本身也頂多只是跟伺服器端要資料,
也竊取不了或改變不了伺服器端的資料或檔案
cookie的話我如果用session不用cookie不曉得這樣子他們可不可能用js竊取資料…
總之,
我是很好奇那些提供免費網頁空間服務的網站,
他們是怎麼不讓自己伺服器不被「中高階駭客」入侵、竊取及破壞呢?
※ 編輯: banana2014 (60.249.6.66), 05/26/2016 18:56:07
推 hijkxyzuw: 有一些 **免費免登入** 只限大小的限時上傳服務; 05/26 18:43
→ hijkxyzuw: 關鍵字: nologin, upload. 像 wikisend, tinyupload. 05/26 18:44
推 blakechiang: 如果你可以確定你的站不會被注入攻擊還做到0漏洞,那 05/26 19:29
→ blakechiang: 就如你所說,不然的話就會像我早期一樣,被植入js檔 05/26 19:29
→ blakechiang: 後再透過注入攻擊和我搞不懂的手法去執行那一個js檔 05/26 19:29
→ blakechiang: ,最後我的站就變成他的歡樂BT種子區 05/26 19:29
→ blakechiang: 但0漏洞…你覺得有可能嗎 05/26 19:29
推 vi000246: 你可以做一個出來讓大家駭駭看 05/26 20:54
推 hijkxyzuw: 其實我在學校給的網頁空間有弄了一個上傳檔案的 cgi 。 05/27 21:32
→ hijkxyzuw: 但沒有人來過。作的保護只有資料夾的權限和不可上傳php 05/27 21:34
→ hijkxyzuw: 或cgi。(用 htaccess 控制執行。) 05/27 21:36