Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд)


Recommended Posts

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Надіслати
Поділитися на інших сайтах


3 минуты назад, PsyKing сказал:

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Боюсь вам нестоит настолько переживать. 

Надіслати
Поділитися на інших сайтах

4 минуты назад, konorws сказал:
8 минут назад, PsyKing сказал:

 

Боюсь вам нестоит настолько переживать. 

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Надіслати
Поділитися на інших сайтах


12 минут назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

  • +1 1
Надіслати
Поділитися на інших сайтах

2 часа назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Стоит!
Нельзя давать пользователям загружать файлы на сервер
Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом

 

Проблема с simple в том что он весь закодирован ioncube

Надіслати
Поділитися на інших сайтах

2 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

Совершенно верно
Стоит и еще как стоит
Плохо то что simple закодирован ioncube

Надіслати
Поділитися на інших сайтах

2 часа назад, PsyKing сказал:

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

Надіслати
Поділитися на інших сайтах

3 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

 

Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл?

Надіслати
Поділитися на інших сайтах


48 минут назад, markimax сказал:

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Надіслати
Поділитися на інших сайтах


32 минуты назад, PsyKing сказал:

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Есть сервисы "облаков", у них есть API
Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно

Надіслати
Поділитися на інших сайтах

1 час назад, PsyKing сказал:

 или из-за закодированного ioncube это невозможно?

Посмотрел simple_connector.php не закодирован

В принципе можно сделать но "дешево" не получится
Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API

Надіслати
Поділитися на інших сайтах

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Надіслати
Поділитися на інших сайтах

6 минут назад, mazein сказал:

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Хватает 0.1 секунды (пока идет "обработка") запустить шел
На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл
Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c
Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл
Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода

Надіслати
Поділитися на інших сайтах

10 минут назад, markimax сказал:

Хватает 0.1 секунды

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

Надіслати
Поділитися на інших сайтах

35 минут назад, mazein сказал:

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

По барабану, ломают через діырки хостера
И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему.

Надіслати
Поділитися на інших сайтах

9 минут назад, markimax сказал:

от имени скрипта

В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется?

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.