メンバーが映画をアップロードしたり、ファイルを交換したりできるようにするために、多くの映画 Web サイト、フォーラム、またはその他の機関では、ユーザーがファイルをアップロードできるようにしています。これは、この権限が許可されている場合にのみ、ユーザーはファイルをアップロードできますが、この権限は FTP サーバーに限定されているためです。ブレークポイントの再アップロードを許可すると、大きな問題が発生する可能性があります。
ブレークポイント後の再送信を許可する FTP サーバー プログラムは、「Rest」コマンドをサポートする必要があります。このコマンドがアップロード コマンド (送信コマンド) の前に使用されると、アップロードするファイルが FTP サーバーから存在することが FTP サーバーに通知されます。そのファイルへの書き込みを開始します。
例:
FTP サーバーに Readme.txt というファイルがあるとします。ファイル サイズは 1000 バイトです (書き込み権限があると仮定します。FTP サーバーはローカルに Readme.txt というファイルもあります)。 . ファイルの場合、ファイル サイズは 500 バイトです。さて、悪いことをし始めました。
1. この FTP サーバーに接続します (システムに付属の ftp://ftp.exe/ を使用します。ftp://ftp.exe/ はポート モードを使用するため、イントラネットでは使用できない場合があります)。
2. dir (Readme.txt のサイズをチェックし、1000 バイトであることを確認します)
3. 残り 1000 を引用符で囲みます (転送したいファイルがファイル位置 1000 から始まることを FTP サーバーに伝えます)
4.Readme.txtを送信する
5. dir (Readme.txt のサイズを再度確認します。Readme.txt は 1500 バイトになっています)
Readme.txt が大きくなるのはなぜですか? それは簡単です。ローカルの Readme.txt の 500 バイトが正常にアップロードされ、ftp サーバーに存在する 1000 バイトの Readme.txt ファイルに書き込まれたからです。問題は 2 番目のコマンドです。2 番目のコマンドがないと、4 番目のコマンド (Readme.txt の送信) で許可拒否エラーが発生します。ブレークポイントと再送信操作のための 2 番目のコマンドを実行すると、ftp サーバーは元のファイルを上書きする操作を実行していると認識します (元のファイルを上書きする操作には追加のアクセス許可が必要です)。
ただし、このトピックの意味は誰もが理解しているはずです。非常に簡単な操作で、書き込み権限を持つすべてのユーザーが他のユーザーによってアップロードされたファイルを変更できます。これだけでも大きなセキュリティ上の脆弱性が生じます。アップロードされたファイルが重要なファイルである場合、ランダムな変更によってファイルが完全に破壊される可能性があります。それが実行可能ファイルや zip または rar ファイルである場合、さまざまなファイル構造に精通した天才的な狂人がそれらのファイルに悪意のあるコードを追加するでしょうか。実行者のシステムが損傷したり、バックドア コードなどが実行されたりする可能性があります。私はこれらのファイルの構造に詳しくないので、これは未知の番号であるとだけ述べます。
しかし、コンピューターの世界では、不可能だったことが最終的に可能になったことがたくさんあるので、最終的な結論は出せません。しかし、ファイルに損傷を与える可能性があるという事実だけでも、500M の映画やテレビのファイルを考えてみてください。これらのファイルを再生するプログラムはおそらく視聴できなくなります。一般的に、彼らは皆、合法的なビデオファイルではないため、再生できないなどと言います。 zip、rar、およびその他のファイルについては、winzip または winrar では、圧縮ファイルが破損している、crc チェック コードが間違っているなどのメッセージが確実に表示されます。
この問題はブレークポイント後の再送信を許可する FTP サービスにのみ存在しますが、現在、FTP サービス プログラムの 90% がブレークポイント後の再送信を許可しているため、この問題は一般的な FTP サーバーにも存在します。
予防方法:
ユーザーにアップロード権限を与える必要がある場合、それを防ぐ最善の方法は、ユーザーごとにディレクトリを作成し、そのディレクトリ内でそのユーザーの権限を完全にロックすることです。これにより、ユーザーは他のユーザーのディレクトリを表示する権限がなくなります。上記のような損害を与えることはできません。
上記は Serv-U V4.0 でテストされており、テスト プラットフォームは Win 2K Server です。他の FTP サービス プログラムでこの問題が発生しない場合は、この記事の範囲を超えています。 現在、 Windowsシステムで FTP サーバーを設定する場合、Serv-U が最も一般的に使用され、人気があるため、管理者はより注意を払う必要があります。この記事は、この方法を使用して FTP サーバー上のファイルを破壊した場合、責任を負うのはあなただけです。古龍の小説の一文を引用すると、「ナイフ自体には何も問題はないが、それを握る手が間違っている。」