匿名ユーザーにURLを尋ねられます。スクリプトはfile_get_contents()を使用してファイルを取得し、変更して前記ユーザーに戻ります。問題?ハッカーが悪意のあるURLを使用して内部サーバーからデータを盗もうとするとどうなりますか?どのようにURLをチェックし、絶対にそれがファイルシステムのアクセスを使用していないネットワークカードを使用して外部ファイルをダウンロードすることを確認する?ハッキングの可能性のあるURLアドレスを検証します。
あなたのダウンロードサーバーには、絶対に必要なものを除いて、内部ネットワークへのアクセスがあってはなりません。つまり、隔離された環境(VM、ドッカー、おそらく別のネットワークインターフェイス)内で実行したいと思うかもしれません。別にあなたは下記の点にURLを確認することができることから、
は:
http://またはhttps://'10.0.20.30'には3つのドットがありますが、誰かがそれにアクセスできるようにすることは望ましくありません。 –
なぜですか? OPはURLにドメインを作成する必要があると指定していませんでした。 Webサーバーに専用名がない場合、IPアドレスも同様に機能するはずです。同じネットワーク内の他のコンピュータにアクセスすることの意義は、私の提案したサーバを隔離することによって処理されます。 –
「悪意のあるURLを使用してハッカーが内部サーバーからデータを盗もうとするとどうなるでしょうか? RFC1918アドレスを除外しないことで、このソリューションでは、サイト上にあるネットワーク上のリソースにアクセスできます。 –
この質問に答えることは不可能です。 – arkascha
@arkascha - 私はその質問を誤解したか、またはあなたがしました。なぜ私の答えはうまくいかないでしょうか? –
プロキシサーバーには、一般に誤用されないようにフィルタが必要です。 – Barmar