0

如果应用程序的用户能够提交纯文本文件,并且这些文件具有由程序使用正则表达式从其中提取的数据(然后将其返回给用户),那么如何滥用呢?

我知道在保存可执行文件或未清理的文件名时存在问题,但我不知道仅打开和解析临时在内存中持续存在的文件有什么风险。

谢谢。

4

1 回答 1

0

这在很大程度上取决于这个理论体系的实施。最大的两个漏洞是:

  1. SQL 注入。如果您将此数据提交到数据库并且以不正确的方式这样做,您可能会将您的数据库暴露给用户上传的任何恶意格式的数据。

  2. 跨站脚本。如果您将上传结果呈现为 HTML,如果结果未正确转义,则可能存在 XSS 漏洞。

正确处理用户输入可以减少这些问题。通常,尽管很大程度上取决于代码的实际实现细节。如果您正在eval输入用户输入,显然,这也是一个巨大的安全漏洞......但在这个细节级别上我们无法看到。

于 2013-03-21T16:04:07.953 回答