Возможно ли взломать сайт через загрузку файлов?

Главные вкладки

Аватар пользователя snegin snegin 20 декабря 2013 в 5:06

В правом верхнем углу сайта есть возможность добавлять объявления http://uta.ygastik.ru/content/2-komn53-m2.

Нажимаем "добавить объявление.

Переходим в анкету - она сделана на основе типа материала Page, а не через Webform!

Заполнив поля - получаем готовое объявление, которое без регистрации пользователя, автоматически размещается на сайте!

Беспокоит вопрос безопасности и спама!

Загрузка картинок осуществляется по адресу - sites/default/files. На папку files выставлены права 755!

Причем загрузка изображения - это обязательное поле!

Насколько безопасна такая конструкция?

Имеет ли смысл перенести хранилище для загружаемых картинок, туда где нет - .htaccess?

Могут ли через загрузка изображений взломать сайт?

Комментарии

Аватар пользователя EvgenySorokin EvgenySorokin 20 декабря 2013 в 11:46

ТС ты не пугай народ такими громкими заголовками.
Все нормально будет, если вы в настройках загрузки картинок не разрешили php/js и пр.

htaccess - один из вариантов защиты, так что не надо самодеятельности.

Аватар пользователя alex_shut alex_shut 20 декабря 2013 в 13:27

угу... тоже на заголовок повелся.
друпал не дураки пишут. если поле для имеджа - идет проверка. и левые файлы отсекаются.
единственная уязвимость (условно единственная) - таки если позволить юзеру в боди загонять пхп и фулл-хтмл (позволит впилить жаба скрипт). выше об этом сказали.

Аватар пользователя snegin snegin 20 декабря 2013 в 16:21

Если нет уязвимостей, почему тогда у вас на сайте такой загрузки нет! Все через ссылки идет! Я слышал, что под стандартные форматы изображений можно создать скрипт! Он загрузится на сервер! И сайт взломан!

Аватар пользователя ihappy ihappy 10 ноября 2015 в 11:49

"snegin" wrote:
Если нет уязвимостей, почему тогда у вас на сайте такой загрузки нет!

на дру.ру?
Тут есть загрузка файлов.
Что как бы намекает мой приложеный файл и вывел его картинкой

"snegin" wrote:
Все через ссылки идет!

так легче
"snegin" wrote:
Я слышал, что под стандартные форматы изображений можно создать скрипт! Он загрузится на сервер! И сайт взломан!

Слышал звон, да не знаешь где.
А я слышал, что если это, то то, будет атата.

Аватар пользователя alex_shut alex_shut 20 декабря 2013 в 16:32

это ты про какой сайт?
если про дру, то тут не только картинку грузануть можно.

триппера боятся, по бабам не ходить.