Перейти к содержанию
PsyKing

Загрузка файлов пользователями в облако (например Яндекс, Гугл и тд)

Рекомендуемые сообщения

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, PsyKing сказал:

Хочу реализовать загрузку файлов покупателями, на странице размещения заказа (модуль Simple), в облако различных онлайн хранения файлов сервисов. В модуле simple есть возможность загрузки файлов, но на сервер. На форуме пишут, что лучше не открывать возможность заливки на сервер файлов, т.к. очень не безопасно - можно залить вредоносные файлы. 

 

Может есть идеи реализации и помощь в данном вопросе за небольшое вознаграждение?

Боюсь вам нестоит настолько переживать. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, konorws сказал:
8 минут назад, PsyKing сказал:

 

Боюсь вам нестоит настолько переживать. 

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, konorws сказал:

Боюсь вам нестоит настолько переживать. 

Стоит!
Нельзя давать пользователям загружать файлы на сервер
Во всех безопасных проектах с загрузкой файлов серверы загрузки отделены от серверов с кодом

 

Проблема с simple в том что он весь закодирован ioncube

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

Совершенно верно
Стоит и еще как стоит
Плохо то что simple закодирован ioncube

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, PsyKing сказал:

 

С радостью, но не нашёл ниодного позитивного комментария по этой теме, наоборот разработчики закрывают данный функционал в своих модулях, т.к. вероятность атаки через эту дыру весьма высока.

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Tom сказал:

Еще как стоит.

По теме, создайте новое текстовое поле в симпле , для вставки ссылки и сделайте пояснение, что именно там размещать.

 

Можно поподробней. Создал текстовое поле. Ссылку я так понимаю на папку хранения гугл диска, куда эту ссылку в поле вставлять? Можно допустим при нажатии кнопки "загрузить файл", открывал ссылку облака, куда можно перетащить файл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
48 минут назад, markimax сказал:

Причем даже не через код модуля, а возможно через дырки сервера
Нельзя пользователям разрешать что либо грузить на сервер
Это будет первый же вектор атаки хакеров

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
32 минуты назад, PsyKing сказал:

 

А есть какие-нибудь идеи выйти на облако или как-то ещё, или из-за закодированного ioncube это невозможно?

Есть сервисы "облаков", у них есть API
Во всяком случае у себя в модуле я делал через API загрузку изображений в облако, типа как пользователь загружает на "сервер" обычно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, PsyKing сказал:

 или из-за закодированного ioncube это невозможно?

Посмотрел simple_connector.php не закодирован

В принципе можно сделать но "дешево" не получится
Лучше связаться с автором и обьснить ситуацию по безопасности, чтобы сделал загрузку в сервис облака через API

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, mazein сказал:

Чем плох вариант с загрузкой файла на сервер, с последующей отправкой на почту админу, и удалением этого файла? Т.е. сам файл физически находится на сервере секунду или две.

Хватает 0.1 секунды (пока идет "обработка") запустить шел
На хабре была статья, как ломали загрузку через хостера и им хватило 0.1 секунды запустить шелл
Они подсунули мусора в шелле на обработку которого ушло как раз более 0.1 c
Не каждый хакер конечно может это сделать. но когда есть дыра и деньги на неё - могут нанять профессионала который закинет шелл
Лучше обезопасить в корне, сделав загрузку файлов в облако или на другой сервер, отделенный от кода

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, markimax сказал:

Хватает 0.1 секунды

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, mazein сказал:

Даже если переименовать файл? А если доступ к папке запретить, кроме локалхост?

По барабану, ломают через діырки хостера
И причем здесь "доступ", вы же все равно от имени скрипта ложите файл в папку, а надо только узнать "куда". А там уже через говнокод модуля или дыры хостера узнать путь к нему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, markimax сказал:

от имени скрипта

В папку кладу с помощью move_uploaded_file, оно ведь от имени сервера выполняется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.