我们的网站被黑了,因为一个文件夹有 777 权限,这意味着人们可以在那里上传文件并远程运行脚本。但是,该文件夹需要为 777,因为该站点具有裁剪图像的客户端功能,并且需要将裁剪的图像保存在那里。
如何保护此文件夹并防止黑客入侵?
请告诉我如何做到这一点?非常感谢!
我们的网站被黑了,因为一个文件夹有 777 权限,这意味着人们可以在那里上传文件并远程运行脚本。但是,该文件夹需要为 777,因为该站点具有裁剪图像的客户端功能,并且需要将裁剪的图像保存在那里。
如何保护此文件夹并防止黑客入侵?
请告诉我如何做到这一点?非常感谢!
CHMOD 777 本质上是不安全的。它仅用于在安装脚本时暂时避免出现问题。安装脚本后,您将其 CHMOD 回 755 之类的内容。为了保护它,您必须更改对全开以外的其他内容的访问权限。
要让用户裁剪图像,我会推荐像Jcrop这样的传统 javascript 裁剪器
我会重新考虑你的设计。您应该限制客户端读取和执行(但不写入)您自己编写的脚本以完成他们需要的特定任务。在脚本中验证您正在对图像文件进行操作,因此它不能用于其他无效图像的文件。不仅要检查文件扩展名,还要检查文件的前几个字节(大多数格式会告诉你它是什么)。文件扩展名很容易更改。
永远不要让用户上传他们自己的脚本以执行到您的服务器。如果你这样做,入侵你将非常容易。如果您有必须能够执行此操作的“高级”用户,请为他们创建自己的用户帐户,该帐户被沙盒到他们自己的环境中。这样他们就不会影响其他用户或您的系统,并且您对他们的行为具有不可否认性(因此,如果他们做了一些愚蠢的事情,您可以追究他们的责任),并且他们打开的任何安全漏洞都将仅限于破坏他们的文件而不是你的。