Я планировал запустить PhantomJS в качестве службы скриншотов веб-страницы. Я беспокоюсь о безопасности. Что делать, если пользователь запросил вредоносный (вредоносный или что-то подобное) скриншот веб-страницы? Может ли это повредить сервер?
1 ответ
-1
Две основные угрозы:
- Использование уязвимости Webkit или плагина, загруженного Webkit/PhantomJS. Это может позволить выполнение произвольного кода на вашем сервере.
- Локальный доступ к вашему серверу. Весьма вероятно, что вы разрешите доступ к некоторым внутренним службам только для localhost (сервер redis, сервер БД, администрирование БД, инструмент и т.д.) Теперь ваш веб-клиент также может получить доступ к localhost. Это распространяется на любой локальный IP.
Есть некоторые другие "неприятности", о которых вам нужно беспокоиться в дополнение к проблемам безопасности:
- загрузка больших файлов, которые могут заполнить ваш HD
- DoS на странице, которая не может быть угрозой для сайта, но будет достаточной, чтобы занести вас в черный список
- Инициируйте ответы безопасности, "подделав" какие-то атаки (XSS, SQLI и т.д.) На каком-либо конфиденциальном веб-сайте (.gov, .mil).
- доступ к запретному контенту (скачать торрент-файл, детская порнография и т.д.)