آپلود فایل ها در سایت و هاست
آپلودر یکی از مهم ترین و خطرناک ترین ابزار ها در سایت هاست . اگر از بابت امنیت آپلودر سایت خود مطمئن نیستید در مورد غیرفعال کردن آن شک نکنید ! چرا که یک آپلودر غیر امن اجازه آپلود فایل های مخرب را به هکر ها خواهد داد.
برای امنیت آپلودر ابتدا باید مسائل زیر را بررسی کنید:
آیا نیازی به نصب آپلودر در سایت وجود دارد؟
سایت ها را از لحاظ آپلود می توان به دو دسته تقسیم کرد : دسته اول سایت هایی هستند که کاربران آنها نیازی به آپلود فایل ندارند و تنها مدیر سایت باید فایل آپلود کند . برای این دسته از سایت ها توصیه می شود هیچ آپلودری نصب نشود و حتی الامکان از پنل های هاست و ftp برای آپلود فایل استفاده شود. دسته دوم سایت هایی هستند که کاربران آنها نیاز به آپلود فایل دارند که برای این دسته از سایت ها باید آپلودر امن درنظر گرفته شده و آپلودر نصب شده امن سازی شود.
- آموزش امنیت آپلودر و فولدر آپلود
- آموزش امنیت آپلودر و فولدر آپلود
- آیا آپلودر شما هاست اختصاصی دارد؟
بهترین کار برای امنیت سایت شما جداسازی هاست آپلودر از هاست سایت اصلی است . با ایجاد هاست اختصاصی برای آپلود فایل ها در صورت بروز هر گونه رخنه امنیتی هیچ خطری سایت شما را تهدید نخواهد کرد . شما می توانید هاست آپلودر را بر روی یکی از زیردامنه های سایت خود ایجاد نمائید مانند: https://upload.site.com
آیا محدودیت نوع ، اندازه و تعداد فایل ها برای آپلودر تنطیم شده است؟
آپلودر ها معمولا یک لیست سفید و یک لیست سیاه از نوع فایل ها دارند که بر اساس آنها اجازه می دهند فایل آپلود شود . همچنین یک آپلودر امن باید بررسی کند تا محتویات فایل با پسوند فایل همخوانی داشته باشد.در صورتی که محدودیت فایل های قابل آپلود رعایت نشده است حتما آن را تنظیم کنید و تنها به فایل های عکس و فایل هایی که نیاز دارید اجازه آپلود شدن بدهید.
برای آپلودر باید حداکثر حجم فایل قابل آپلود تنظیم شود تا هکرها نتوانند با آپلود فایل های بزرگ هاست را با مشکل کمبود فضا مواجه کنند. همچنین برای پوشه حاوی فایل های آپلود شده باید محدودیت حداکثر تعداد فایل در نظر گرفته شود تا مانع از انجام برخی حملات DOS شوید.
آیا امنیت پوشه ای که فایل ها در آن آپلود می شوند تامین شده است؟
در صورتی که کاربران نیازی به مشاهده فایل های آپلود شده ندارند . دسترسی مستقیم را به فولدر فوق از طریق ایجاد فایل htaccess با محتویات زیر در پوشه فوق قطع کنید:
Order Allow,Deny
Deny from allدر صورتی که کاربران باید فایل های آپلود شده توسط خود را ببینند بهترین کاری که می توانید انجام دهید این است که دسترسی به فایل های مجاز را در فایل htaccess برقرار کنید و دسترسی به سایر فایل ها را ممنوع نمائید .
این کار با ایجاد یک فایل htaccess با محتویات زیر در پوشه فایل های آپلود شده امکان پذیر خواهد شد :
Options -Indexes
<FilesMatch '.*'>
SetHandler None
</FilesMatch>
Order Deny,Allow
Deny from all
<FilesMatch '.(jpe?g|gif|png|pdf|mp3|txt|zip)$'>
Allow from all
</FilesMatch>تذکر: پسوند فایل ها در کد بالا متعلق به فایل هایی است که کاربران می توانند آنها را ببینند، باید آنها را بر اساس نیاز تغییر دهید.
فایل های آپلود شده با چه نام و پسوندی ذخیره می شوند؟
یک آپلودر امن نباید اجازه بدهد فایل ها با همان نام اصلی در هاست آپلود شوند و باید نام فایل را بصورت تصادفی انتخاب نموده و پسوند فایل را از روی ساختار فایل تعیین کند و کاربر در این مورد نباید هیچگونه حق انتخابی داشته باشد.
آپلودر سایت از لحاظ آسیب پذیری چه وضعیتی دارد ؟
بررسی کنید آیا آپلودر شما آسیب پذیری شناخته شده ای دارد یا خیر و درصورت وجود نسخه جدیدتر آن را بروزرسانی کنید.
چه کسانی می توانند فایل آپلود کنند ؟
بهتر است تنها کاربرانی که عضو سایت هسستند بتوانند فایل آپلود کنند و کاربران میهمان اجازه آپلود فایل نداشته باشند.
آیا نام و نسخه آپلودر شما قابل تشخیص است ؟
نام و نسخه آپلودر شما نباید قابل شناسایی باشد و باید امضا و لوگو و هرآنچه که نوع و نام و نسخه آپلودر شما را مشخص می کند را از قالب آن حذف نمائید .
آیا فایل های آپلود شده قابلیت اجرا دارند ؟
فایل هایی که توسط آپلودر ها اپلود می شوند نیازی به اجرا شدن ندارند . به همین خاطر سعی کنید قابلیت اجرا را از فولدری که فایل ها در آن آپلود می شوند بگیرید ، در صورت امکان حتی می توانید فایل ها را خارج از محیط document root سایت آپلود کنید.
از ساخت آپلودر های شخصی و دست ساز جدا خودداری کنید:
برخی از مدیران سایت ها که آشنایی کمی با برنامه نویسی دارند برای سهولت کار خود اقدام به ساخت فایل های آپلودر کرده و این فایل ها را در هاست خود رها می کنند . این دست آپلودر ها معمولا خطرناک ترین نوع آپلودر هستند و حتی اگر در هیچ جای سایت لینک نشده باشد و کسی از آن مطلع نباشد ، هکرها آن را خواهند یافت!
