¿Existe algún peligro al permitir que los usuarios alojen archivos PDF / RTF / DOC en mi servidor web?

3

Si permitiera a los usuarios alojar archivos PDF / RTF / DOC arbitrarios en mi servidor, todos con el mismo nombre, pero con cadenas de consulta diferentes, ¿habría algo de qué preocuparse? He oído hablar de las vulnerabilidades de PDF / RTF, y entiendo que tal vez alguien pueda alojar una de esas en mi servidor, pero quiero decir que no es como si pudieran acceder a datos de cookies o cualquier cosa a través de un archivo PDF. Entonces, ¿está bien hacer esto, o debería estar preocupado?

¿Debo hacer que alojen los archivos con un nombre de dominio diferente o estoy bien usando mi dominio original?

He notado, por ejemplo, que muchos sitios web como Facebook, Google, YouTube, etc. tienen nombres de dominio especiales para alojar imágenes y otros datos que permiten que los usuarios carguen, por lo que tengo curiosidad.

    
pregunta jake192 19.09.2014 - 22:11
fuente

2 respuestas

4

El problema no es que los archivos puedan contener exploits, sino que pueden causar daños cuando se reinterpretan como un formato diferente. Por ejemplo, alguien puede cargar un archivo con la extensión RTF, que en realidad es un archivo Flash diseñado para robar cookies o realizar ataques CSRF. Esa es una de las razones por las que Google hospeda todos los archivos proporcionados por el usuario en un dominio separado , para que el dominio principal esté aislado de dicho contenido mediante política del mismo origen .

    
respondido por el abacabadabacaba 20.09.2014 - 02:15
fuente
0

Peligro inmediato - no.

Peligro potencial: sí: para el sistema de cualquier persona que acceda a estos archivos. El escaneo de virus puede mitigar algunos de estos riesgos, pero está lejos de ser perfecto.

    
respondido por el Saint Crusty 21.09.2014 - 20:10
fuente

Lea otras preguntas en las etiquetas