Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд)


Recommended Posts

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Link to post
Share on other sites

3 минуты назад, PsyKing сказал:

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Боюсь вам нестоит настолько переживать. 

Link to post
Share on other sites
4 минуты назад, konorws сказал:
8 минут назад, PsyKing сказал:

 

Боюсь вам нестоит настолько переживать. 

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Link to post
Share on other sites

12 минут назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

  • +1 1
Link to post
Share on other sites
2 часа назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Стоит!
Нельзя давать пользователям загружать файлы на сервер
Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом

 

Проблема с simple в том что он весь закодирован ioncube

Link to post
Share on other sites
2 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

Совершенно верно
Стоит и еще как стоит
Плохо то что simple закодирован ioncube

Link to post
Share on other sites
2 часа назад, PsyKing сказал:

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

Link to post
Share on other sites
3 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

 

Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл?

Link to post
Share on other sites

48 минут назад, markimax сказал:

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Link to post
Share on other sites

32 минуты назад, PsyKing сказал:

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Есть сервисы "облаков", у них есть API
Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно

Link to post
Share on other sites
1 час назад, PsyKing сказал:

 или из-за закодированного ioncube это невозможно?

Посмотрел simple_connector.php не закодирован

В принципе можно сделать но "дешево" не получится
Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API

Link to post
Share on other sites

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Link to post
Share on other sites
6 минут назад, mazein сказал:

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Хватает 0.1 секунды (пока идет "обработка") запустить шел
На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл
Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c
Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл
Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода

Link to post
Share on other sites
10 минут назад, markimax сказал:

Хватает 0.1 секунды

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

Link to post
Share on other sites
35 минут назад, mazein сказал:

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

По барабану, ломают через діырки хостера
И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему.

Link to post
Share on other sites
9 минут назад, markimax сказал:

от имени скрипта

В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется?

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.