Fallo de seguridad en este enfoque de código

Question

Me pregunto si habría alguna falla de seguridad en este enfoque. Estoy escribiendo un fragmento de código que permite a los usuarios subir archivos y otro conjunto para descargar esos archivos. Estos archivos pueden ser cualquier cosa.

1. El usuario carga el archivo (cualquier archivo que incluya archivos .php), se renombra a un hash md5 (extensión eliminada) y se almacena en el servidor. Se realiza una entrada mySQL correspondiente.
2. El usuario que intenta descargar el archivo usa, por ejemplo, download.php para descargar el archivo donde se envía el archivo md5 (con el nombre original).

¿Hay alguna forma en que cualquiera pueda explotar el escenario anterior?

Answer 1

Bueno, en teoría no. No debería haber forma de explotar ese sistema. Sin embargo, hay varias cosas que me gustaría señalarte que quizás no hayas pensado.

En primer lugar, dado que los archivos se descargan a través de un archivo PHP (asumiendo readfile() con encabezados apropiados), debe colocar los archivos en un lugar inaccesible para los usuarios. En los servidores apache, generalmente el enfoque más fácil es simplemente colocar un archivo .htaccess en el directorio de carga con "deny from all" en él para evitar el acceso externo. Si los usuarios no tienen acceso a los archivos externamente en primer lugar, no hay realmente ninguna preocupación acerca de las extensiones de archivos que causan problemas (aunque cambiar el nombre para propósitos de almacenamiento sigue siendo una buena idea)

En segundo lugar, nombrar el los archivos por hash pueden no ser una idea tan brillante, ya que es posible que se produzcan colisiones con el tiempo. ¿Qué sucede si dos archivos tienen el mismo hash? Sin mencionar, el cálculo del hash es un poco lento, especialmente para archivos más grandes (si se calcula a partir del contenido del archivo, y no el nombre). Como almacenas una entrada en la base de datos, supongo que tienes algún tipo de clave primaria allí (como un campo auto_increment). Yo recomendaría simplemente usar ese número de identificación como el nombre de archivo para el almacenamiento para evitar colisiones (en caso de que no lo sepa, puede obtener el ID generado por la última inserción a través del mysql_last_insert_id())

Por supuesto, siempre puede haber problemas con archivos que contienen virus, que pueden infectar la máquina descargando los archivos, pero eso está realmente fuera del alcance de esta pregunta y no afecta al servidor de ninguna manera.

Answer 2

Si pueden include/require archivos locales a causa de un agujero separado y el hash es predecible, entonces sí.

Así que, básicamente, no. :-)

Answer 3

Mientras nadie ejecute esos archivos en el servidor, parece bastante seguro.

Answer 4

Si es una extensión diferente que no se hace ejecutable por defecto y tiene un hash aleatorio, garantizado que no será explotable. Solo asegúrate de no asignar PHP a la extensión.

Answer 5

Le sugiero que cambie el nombre de las extensiones de archivo a una no ejecutable para que, incluso si hay una laguna en la seguridad y alguien puede acceder al archivo, no puedan ejecutarlo. Aparte de eso, no veo ninguna forma de que alguien pueda poner en peligro la seguridad.

Answer 6

Para que la descarga funcione como se espera, probablemente necesite almacenar el tipo mime y generar un nombre de archivo con una extensión adecuada en el encabezado Content-Disposition.Lo que también significa que estas descargas deben estar mediadas por PHP (por lo que no puede colocarlas fuera de open_base_dir).

Debe revisar su código para ver si hay alguna forma de que se incluyan los archivos cargados.

C.