МВИА 10 Опубликовано: 8 октября 2007 Рассказать Опубликовано: 8 октября 2007 В скрипте осуществлена возможность прикреплять PDF файлы к новостям. Это очень удобно и правильно. Теперь по существу: у меня сайт расположен у хостера мастерхост, периодически он проверяет своими средствами сайт на возможные уязвимости, делает это грамотно и претензи нет, потом присылает отчёт. В полседнюю проверку я получил следующее: Описание Ошибка в расширении Adobe Reader для популярных браузеров может использоваться для проведения атак типа "Межсайтовый скриптиг" против любого Web-сервера, на котором расположены документы в формате PDF. Злоумышленник может заставить пользователя перейти по специально сформированной ссылке, что приведет к выполнению кода в контексте безопасности сайта, на котором расположен документ PDF. Пример запроса: http://site/file.pdf#filed=java script:alert() Решение Возможны различные варианты решения. Файлы PDF могут быть удалены с сайта или перемещены в архивные файлы. Ещё одним вариантом является замена заголовка Content-Type в ответе сервера или добавления заголовка Content-Disposition: attachment В Web-сервере Apache для этого можно использовать следующие строки в httpd.conf: Header unset Content-Disposition Header add Content-Disposition "attachment" Клиенты должны установить Adobe Reader 8 и выше: http://www.adobe.com/products/acrobat/readstep2.html Ссылки http://www.securityfocus.com/bid/21858/references http://www.kb.cert.org/vuls/id/815960 http://www.wisec.it/vulns.php?page=9 http://www.adobe.com/support/security/advi.../apsa07-01.html Насколько это серьёзно? И насколько скрипт в этом отношении безопасен? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 8 октября 2007 Рассказать Опубликовано: 8 октября 2007 МВИА, абсолютно безопасен, пример дан при обращении по прямой ссылке на файл, а скрипт к закачанным файлам через него не дает прямого доступа, а отдает файлы как раз в описанном способе решения через Header add Content-Disposition "attachment" данная проблема описана только если вы даете скачивать PDF файлы напрямую, и то это уязвимость от ADOBE, которая была устранена в 8 версии Цитата Ссылка на сообщение Поделиться на других сайтах
МВИА 10 Опубликовано: 8 октября 2007 Рассказать Опубликовано: 8 октября 2007 Автор МВИА, абсолютно безопасен, пример дан при обращении по прямой ссылке на файл, а скрипт к закачанным файлам через него не дает прямого доступа, а отдает файлы как раз в описанном способе решения через Header add Content-Disposition "attachment" данная проблема описана только если вы даете скачивать PDF файлы напрямую, и то это уязвимость от ADOBE, которая была устранена в 8 версии Спасибо за ответ, удачи... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.