如果我提供web应用程序写访问权限，我会遇到什么安全问题？

Question

我想要授予我的web应用程序对我的web服务器上的特定文件夹的写入访问权限。我的web应用程序可以在此文件夹上创建文件，并可以将数据写入这些文件。然而，web应用程序不向用户提供任何接口，也不公开它可以创建文件或写入文件的事实。我是否易受任何安全漏洞的影响？如果有，是什么？

Answer 1

您可能会怀疑您的服务器受到欺骗，将恶意文件写入该位置。

可能出现的问题取决于该文件夹发生了什么。

• 可以通过web访问吗？

然后可以托管恶意文件，例如窃取cookies或提供恶意软件。

• 是用于执行应用程序的文件夹吗？

这将是疯狂的。不要这样做。

• 只是一个存储文件以供以后处理的地方-

考虑一下如果恶意文件放在那里会发生什么。恶意的PDF，比方说，输入到你的PDF处理系统中，然后一些PDF bug被执行，导致一些恶意代码被执行，然后一切都结束了。

基本上，你暴露给自己的问题，潜在地，就像我说的那样--该位置的恶意文件。您可以仔细考虑该文件夹中发生了什么，以及它的暴露程度，并自行决定它的风险有多大。

识别出这些风险后，您就可以决定如何继续进行。显然，您可能不允许直接上传到该区域，因此您可以考虑将风险显著降低，因为您基本上是在评估这样一种情况，即有人在您的them服务器中发现了一个bug，允许他们在没有您提供访问权限的情况下将某些文件保存在某个位置。我敢说这类问题并不是成百上千个。不过，可能会有这种情况。因此，通过确保文件夹和其中的文件以受限的方式使用，并且如果可能的话，检查它们是否是“好的”文件，从而使该文件夹中的文件的风险最小化是适当的。