Pasta com permissão de escrita e leitura é um erro de segurança?

Question

Olá pessoal,

 

Estou com uma dúvida e gostaria de saber se os colegas poderiam me ajudar.

 

- Tenho uma pasta com permissão de escrita e leitura.

- Nesta pasta o usuário faz upload de imagens (pela aplicação) e também exclui as imagens (pela aplicação)

- Antes de efetuar o Upload me certifico se o arquivo realmente é um arquivo de imagem para evitar uploads indevidos

- Verifico se é uma imagem utilizando Regex: Regex.IsMatch(arquivoUpload.ContentType, "image/\\S+")

 

Agora a dúvida.

Estando a pasta com permissão de escrita e leitura, seria possível ser feito um ataque a esta pasta excluindo arquivos ou mesmo subindo arquivos sem ser pela aplicação?

Se sim. Qual seria a alternativa?

Já que todas as aplicações que utilizam sistemas de thumbnail deixam (até onde conheço) as pastas que ficam armazenadas as imagens com permissão de escrita e leitura.

 

Um forte abraço,
Carlos Junior

 

---

Carlos Junior

Answer 1

Hi,

Se o seu host(servidor, hospedagem) nao der permisao de acesso a pasta em questa nao faz diferenca se ela esta como leitura escrita ...

entao basta bloquear o acesso a essa pasta, se nao me engano isso e feito com mapeamento.

Att,

---

Adriel Codeco Silva Email: adriel.silva@uppercase.com.br MSN: adrielcodeco@hotmail.com Blog: adrielcodeco.wordpress.com Uppercase – www.uppercase.com.br R. Primeiro de Março, 661 – Centro Barra Bonita - SP - CEP 17340-000