none
Pasta com permissão de escrita e leitura é um erro de segurança? RRS feed

  • Pergunta

  • Olá pessoal,

     

    Estou com uma dúvida e gostaria de saber se os colegas poderiam me ajudar.

     

    - Tenho uma pasta com permissão de escrita e leitura.

    - Nesta pasta o usuário faz upload de imagens (pela aplicação) e também exclui as imagens (pela aplicação)

    - Antes de efetuar o Upload me certifico se o arquivo realmente é um arquivo de imagem para evitar uploads indevidos

    - Verifico se é uma imagem utilizando Regex: Regex.IsMatch(arquivoUpload.ContentType, "image/\\S+")

     

    Agora a dúvida.

    Estando a pasta com permissão de escrita e leitura, seria possível ser feito um ataque a esta pasta excluindo arquivos ou mesmo subindo arquivos sem ser pela aplicação?

    Se sim. Qual seria a alternativa?

    Já que todas as aplicações que utilizam sistemas de thumbnail deixam (até onde conheço) as pastas que ficam armazenadas as imagens com permissão de escrita e leitura.

     

    Um forte abraço,
    Carlos Junior

     


    Carlos Junior
    quarta-feira, 30 de junho de 2010 22:26

Todas as Respostas

  • Hi,

    Se o seu host(servidor, hospedagem) nao der permisao de acesso a pasta em questa nao faz diferenca se ela esta como leitura escrita ...

    entao basta bloquear o acesso a essa pasta, se nao me engano isso e feito com mapeamento.

    Att,


    Adriel Codeco Silva
    Email: adriel.silva@uppercase.com.br
    MSN: adrielcodeco@hotmail.com
    Blog: adrielcodeco.wordpress.com
    Uppercase – www.uppercase.com.br

    R. Primeiro de Março, 661 – Centro Barra Bonita - SP - CEP 17340-000
    quarta-feira, 30 de junho de 2010 23:04
    Moderador