https://www.opennet.ru/openforum/vsluhforumID3/115640.html В плагине jQuery-File-Upload (https://github.com/blueimp/jQuery-File-Upload/) выявлена (https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html) поучительная уязвимость CVE-2018-9206 (http://www.vapidlabs.com/advisory.php?v=204), показавшая удивительную беспечность web-разработчиков и web-администраторов. jQuery-плагин jQuery-File-Upload предоставляет функциональный web-виджет для организации загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Основная функциональность jQuery-File-Upload реализована на JavaScript и выполняется на стороне браузера, при этом в состав также входит набор примеров серверных обработчиков (https://github.com/blueimp/jQuery-File-Upload/tree/master/server) для сохранения отправляемых файлов. <br><br><br>Суть уязвимости в том, что в предлагаемых серверных обработчиках полностью отсутствовали фильтры для блокирования загрузки потенциально опасных типов контента и загружаемые файлы сохранялись https://www.opennet.ru/openforum/vsluhforumID3/115640.html#59 Mon, 21 Jan 2019 09:02:56 GMT Точно. Считаю, что тот, кто ставит плагин к себе на сайт, и должен думать об этом. С другой стороны, разработчик плагина мог бы в документации указать на эту возможную опасность.<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#58 Fri, 09 Nov 2018 01:34:01 GMT лихо говнокодеры всех дырявых пыхобэкендов попытались спрыгнуть, что фронтенд библиотека браузерная не проверяла тип файлов на опасность против их прелестного пыха<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#57 Fri, 09 Nov 2018 01:30:53 GMT плагины в функционально-торжественном стиле<br><br>доступны также повседневные плагины и плагины выходного дня<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#56 Thu, 25 Oct 2018 15:11:06 GMT &gt; Не надо метаданные в себя, ФС может оказаться разная.<br><br>давайте тогда и данные (вот все 48 мегапикселей фоточки салатика) сохранять в БД - "fs же может оказаться разная" (а не горе-девляпс, выбравший fs для хранения юзерских файлов, не умеющую хранить файлы, покидает нас в трех ботинках) - вдруг у нее размер файла три килобайта и ни байтом больше? А, и внутри файла могут быть только четные байты, а от нечетных она ломается.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#55 Thu, 25 Oct 2018 15:07:48 GMT &gt; Будут два файла abcd0001.dat и abcd0002.dat, и две записи в БД.<br><br>а если запись в бд по каким-то причинам пропала - мусор храним вечно, да?<br><br>&gt; Файл отдать можно например через mod_xsendfile, но с прослоечкой, которая подставит content-<br>&gt; disposition с нужным файлнеймом.<br><br>вон сколько всего ненужно нужно сделать, чтобы подменить то, что файловая система изначально предназначена делать сама.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#54 Thu, 25 Oct 2018 13:35:23 GMT &gt; Да ;) Интересно как это работает на высоко нагруженных серверах? Что будет если два пользователя одновременно захотят сохранить файл "Noname.txt"?<br><br>Будут два файла abcd0001.dat и abcd0002.dat, и две записи в БД.<br><br>Файл отдать можно например через mod_xsendfile, но с прослоечкой, которая подставит content-disposition с нужным файлнеймом.<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#53 Thu, 25 Oct 2018 13:34:24 GMT Не надо метаданные в себя, ФС может оказаться разная.<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#52 Thu, 25 Oct 2018 13:18:48 GMT &gt;это какой-то паноптикум некомпетентности.<br><br>Полностью согласен, особенно глядя на предлагаемые воркараунды<br><br>По поводу идиотского ограничения загружать только image/*. Не удивлюсь если потом выяснится, что в php включен fileinfo c libmagic и оно, увидев в начале .jpg файла волшебные строчки "&lt;?php", проигнорирует расширение и замечательно отработает как php.<br><br>Элементарное правило - отключение всех серверных хандлеров для каталогов, куда юзерам позволено загружать файло, не зависимо от расширения. Например, для Апача неужели сложно сделать<br>&lt;Directory "/uploads"&gt;<br> php_flag engine off<br> AllowOverride None<br> Options None<br> Require all granted<br>&lt;/Directory&gt;<br><br>Либо в .htaccess<br>php_flag engine off<br> https://www.opennet.ru/openforum/vsluhforumID3/115640.html#50 Wed, 24 Oct 2018 19:25:20 GMT аффтар попытался подложить соломки, как умел, примерно предвидя уровень "админов", которые это будут настраивать.<br><br>Но кунфу аффатаров апача оказалось круче, и они таки умудрились именно в тех местах, где гнездятся эти админы, поделить плохонькую защиту на ноль, безусловно, тоже ради заботы об альтернативно одаренных (всем остальным их поделка даром не нужна со времен убийства 1.3)<br>