FTP服务器关于权限的防范问题

• 　　很多电影网站，论坛或其它机构为了方便会员或成员上传电影或者交流文件，都允许用户的上传权限，因为只有允许这个权限，用户才可以上传文件，但这个权限在允许断点再传的ftp服务器中，可以导致很大的问题出来。
  
  　　允许断点再传的ftp服务器程序，都必须支持一个“Rest”的命令，如果这个命令是用在上传命令前（send命令）， 是告诉ftp服务器我要上传的文件会是从ftp服务器中存在的那个文件的什么位置中开始写。
  
  　　例子：
  
  　　假设ftp服务器中存在一个文件Readme.txt，文件大小为1000 bytes，连接上这个ftp服务器（假设我有写权限，ftp服务器是支持断点再传的），我本地中也有一个叫Readme.txt的文件，文件大小为500 bytes。好了，我开始做坏事。
  
  　　1、连接上这个ftp服务器（用系统自带的 ftp：//ftp.exe/，在内网的可能无法使用，因为 ftp：//ftp.exe/用的是port模式）
  
  　　2、dir（查看Readme.txt大小，确定了是1000 bytes）
  
  　　3、quote rest 1000（告诉ftp服务器我将要传送的文件是从文件位置1000开始）
  
  　　4、send Readme.txt
  
  　　5、dir（再次查看Readme.txt大小，现在Readme。txt变成1500 bytes了）
  
  　　为什么Readme.txt会变大了?很简单，因为我本地的那个Readme.txt的500字节上传成功，并写入到ftp服务器中存在的那个1000 bytes的Readme.txt文件中了。问题是出在第二条命令，如果没有第二条命令，我的第4个命令（Send Readme.txt），就会得到一个Permission Deny的错误，第二条命令是让ftp服务器信任我们将要进行一个断点再传的操作，如果没有第二条命令，ftp服务器将以为我们进行的是一个复盖原文件的操作（复盖原文件操作需要另外的权限才可以进行）。
  
  　　说到这里，大家应该明白了主题的意思了吧，通过很简单的操作，任何具有写权限的用户，都可以改动其它用户上传的文件，单是这一点，就存在很大的安全漏洞了。如果上传的是重要文件，随意的修改可以令文件完全破坏了;如果是可执行文件或一些zip或rar文件，会不会有些熟悉各种文件结构的天才疯子，将一些恶意代码也加到那些文件，令执行者系统受到破坏或者执行了他们的后门代码或其它，由于本身对于这些文件结构并不熟悉，我只说这是一个未知之数。
  
  　　但在电脑的世界中，很多不可能的事最后都被创造成可能，所以我无法下定论。但单是能破坏到文件这一点，已是很具破坏性了，想想一个500M的影视文件，被人多加了字节进去的话，估计是无法再被观看的了，播放这些文件的程序一般都会说不是合法的影视文件，无法播放等等。至于zip，rar等文件，winzip或winrar肯定会说压缩文件已遭到破坏，crc检验码不对等等的错误。
  
  　　这个问题只是在允许断点再传的FTP服务中存在，但现在90%的FTP服务程序都是允许断点再传的，所以这问题在普遍的FTP服务器都会存在。
  
  　　防范方法：
  
  　　如果一定需要给用户上传权限的话，最好的防范方法是每个用户都给他建立一个目录，将那个用户的权限完全锁在这个目录内，那么用户就没有权限可以查看其它用户的目录，也就是说无法造成以上所说的破坏。
  
  　　以上所说的在Serv-U V4.0中测试过，测试平台是Win 2K Server。如果其它ftp服务程序不存在这种问题，那不在此文章讨论范围内。 现在windows系统中架设ftp服务器，用得最多最流行的还是Serv-U，所以管理员们要多留心了。这文章并不是要教人做坏事，如果你用这种方法去破坏ftp服务器的文件，唯一要负责任的人是你。引用一句古龙小说中的话：“刀本身并没有错，错的是拿它的手”。
  
  
  

  （出处：http://www.hackhome.com/）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• FTP服务器关于权限的防范问题 相关文章：
• ·局域网内共享文件 提示没有访问权限的问题
• ·Windows无法访问指定设备,路径或文件.您可能没有合适的权限访问这个项目
• ·如何提升到管理员权限
• ·权限设计的探讨
• ·Membership角色与权限管理
• ·教你拿到XP系统的超级管理员权限
• ·系统角色与权限分析 ASP.NET实现
• ·Linux文件和目录访问权限设置
• ·管理员组获取系统权限的完美解决方案
• ·通过代理服务器突破公司限制上网权限
• FTP服务器关于权限的防范问题 相关软件
• ·Windows用户权限管理器 V3.3.2

上一篇:谷歌与金山合作 迈出中国第三步

下一篇:css教程：网页中Span和Div的区别

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐