Это канешн круто, но это сработает только для совсем легаси систем. Файлы сейчас хранятся в S3-бакетах, а сами приложения - в контейнерах Docker, файловая система которых изолирована от хост-машины. Этот способ сработает только против какой-нибудь древности типа LAMP-стэка. Впрочем, я не сомневаюсь, что много чего и на таком стоит
хорошая практика генерировать имя файла при загрузке. Помимо обхода этой проблемы получим еще отсутствие коллизий имён. А по сути вопроса могу добавить, что у приложения не должно быть прав на запись никуда, кроме директории, принимающей файлы)
Это канешн круто, но это сработает только для совсем легаси систем. Файлы сейчас хранятся в S3-бакетах, а сами приложения - в контейнерах Docker, файловая система которых изолирована от хост-машины. Этот способ сработает только против какой-нибудь древности типа LAMP-стэка. Впрочем, я не сомневаюсь, что много чего и на таком стоит
LAMP и то не факт. Гнать в шею админа который не в состоянии права раздать и запретить чисто механически что либо создавать там где не положено.
Это всё конечно хорошо, но не могли бы вы давать суть уязвимости с самого начала?
че за предъява ? а ты мог бы на ютуб больше не заходить? если твое образование только для майнкрафт видосов
@@irvi6552 взаимно
Вот это интересный контент!
как жаль, что в современной разработке код запускается в docker контейнерах на левых пользователях, а не на root :(
хорошая практика генерировать имя файла при загрузке. Помимо обхода этой проблемы получим еще отсутствие коллизий имён. А по сути вопроса могу добавить, что у приложения не должно быть прав на запись никуда, кроме директории, принимающей файлы)
какой же ты ламповый
Спасибо за контент, правда очень круто
Страшно. Сто серверов под угрозой и миллионы на подходе
Было дело. Veracode cwe-73