Lectura / escritura del contenido de los archivos: ¿qué puede pasar?

Question

Lectura / escritura del contenido de los archivos: ¿qué puede pasar?

#1 de ojblass (3 votos)

3

Estoy configurando un sistema simple que usa un servidor HTTP que escribe datos entrantes en archivos JSON en un directorio específico. Esto funciona como una pseudo-base de datos muy simple. Para simplificar, suponga que Java y no explota directamente en el software del servidor, los usuarios pueden enviar JSON, está escrito en un archivo específico y pueden solicitar el contenido de todos esos archivos.

¿Me estoy perdiendo un problema de seguridad importante aquí? ¿Pueden los usuarios de alguna manera abusar de este diseño para obtener acceso de alguna manera?

Si llamas a esto una base de datos, mi temor es un vector de ataque similar a la inyección SQL.

Si el sistema operativo es importante (lo que supongo que sería), sería bueno enfocarse en Windows y Linux / Unix.

file-system

pregunta Hard.At.Sleep 28.03.2016 - 20:21

fuente

1 respuesta

Lea otras preguntas en las etiquetas file-system

¿Mi servidor ha sido comprometido? (Ransomware relacionado) ¿Crear cuentas en sitios sin seguridad?

score 3 · Accepted Answer

Si entiendo lo que está haciendo correctamente, esta es una base de datos implementada como servicios. Si los datos son confidenciales, la falta de autenticación puede llevar a importantes problemas de seguridad. Los usuarios podrían leer los datos de los demás, sobrescribir los datos importantes y posiblemente copiar todos los datos en una violación de seguridad masiva.

Además de los problemas de autenticación, puede tener problemas si alguien desea realizar un ataque de denegación de servicio en su sitio. Sin los controles adecuados, se puede escribir una gran cantidad de datos y llenar un disco en el que se basa el servidor.

Dependiendo de cómo se recuperan los datos (si las solicitudes no están saneadas), el usuario podría usar construcciones como separadores de ruta para descargar archivos importantes en el Sistema Operativo (por ejemplo, / etc / password). Si el usuario tiene el control del nombre del archivo en el que se está escribiendo de todos modos, también podría utilizar las vulnerabilidades de ruta para sobrescribir los archivos confidenciales que les permiten acceder.