Нужна помощь специалистов
Конфиг сервера: Ubuntu Server 12.04 nginx+php-fpm
Есть сайт, работающий на WP, есть возможность загрузки файлов всем пользователям.
Реализована:
Проверка по типу и расширению
Запрещено всё кроме: JPG, GIF, PNG, TXT
Есть полный мониторинг загруженых файлов
Файлы сайта лежат тут: /home/user1/www/domen/
Загружаемые пользователями файлы лежат тут: /home/user2/www/st.domen/
Файлы отдаются по прямым ссылкам
после загрузки файла и создание темы пути не раскрываются (кроме картинок)
Файлы переименовывается md5+динамическая соль
Исполнение php скриптов невозможна по той причине что php не прописан в конфиге сабдомена.
Обращение к файлам доступна только методом GET
Расширения доступные для открытия прописано и в конфиге сервера JPG, GIF, PNG, TXT
Какова угроза взлома связанная именно с загрузкой?(Отредактировано автором: 07 Декабря, 2013 - 21:20:14)
|