파일, 임시 파일 및 취약점 업로드

내 앱 사용자는 어디서나 직접 저장하지 않는 csv 파일을 업로드 할 수 있습니다. 따라서 가져 오기 클래스는 ActionDispatch :: Http :: UploadedFile 객체를받은 다음 호출합니다 #tempfile에 임시 파일에 액세스하여 파싱합니다.파일, 임시 파일 및 취약점 업로드

the "File Uploads" section of guides에 나열된 취약점에 대해 계속 걱정해야합니까?

출처

2013-09-21 Rafał Cieślak

웹 요청을 파싱하는 경우 서비스 거부가 발생할 수 있습니다. 문제의 코드를 보지 않고서는 경로 확장 (예 : "../../some/secret/file")에서 안전하다고 확신 할 수 없습니다. 즉, 모든 파일 처리가 Rack/ActionDispacth에 의해 수행되고 경로를 직접 처리하지 않으면 안전하다고 의심됩니다. 수입에 .pathfile [파일]

출처

2013-09-22 21:16:59 pbyrne

는 I는 PARAMS 합격 [ClockworkTomatoImporter (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/clockwork_tomato_importer.rb) <[수입 (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/importer.rb), [imports_controller] (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/controllers/imports_controller) .rb). –

웹 요청에서 파싱을 이동하는 경우 : 예, 확실히해야 할 일입니다. 또한 매우 큰 파일을 구문 분석하는 것에 대한 기본적인 보호 기능을 제공합니다. –

파일, 임시 파일 및 취약점 업로드

답변

관련 문제