FTP服务器关于断点续传权限的防范问题
FTP服务器关于断点续传权限的防范问题
假设ftp服务器中存在一个文件Readme.txt,文件大小为1000bytes,连接上这个ftp服务器(假设我有写权限,ftp服务器是支持断点再传的),我本地中也有一个叫Readme.txt的文件,文件大小为500bytes。好了,我开始做坏事。
1、连接上这个ftp服务器(用系统自带的ftp://ftp.exe/,在内网的可能无法使用,因为ftp://ftp.exe/用的是port模式)
2、dir(查看Readme.txt大小,确定了是1000bytes)
3、quoterest1000(告诉ftp服务器我将要传送的文件是从文件位置1000开始)
4、sendReadme.txt
5、dir(再次查看Readme.txt大小,现在Readme。txt变成1500bytes了)
为什么Readme.txt会变大了?很简单,因为我本地的那个Readme.txt的500字节上传成功,并写入到ftp服务器中存在的那个1000bytes的Readme.txt文件中了。问题是出在第二条命令,如果没有第二条命令,我的第4个命令(SendReadme.txt),就会得到一个PermissionDeny的错误,第二条命令是让ftp服务器信任我们将要进行一个断点再传的操作,如果没有第二条命令,ftp服务器将以为我们进行的是一个复盖原文件的操作(复盖原文件操作需要另外的权限才可以进行)。
这个问题只是在允许断点再传的FTP服务中存在,但现在90%的FTP服务程序都是允许断点再传的,所以这问题在普遍的FTP服务器都会存在。
防范方法:
如果一定需要给用户上传权限的话,最好的防范方法是每个用户都给他建立一个目录,将那个用户的权限完全锁在这个目录内,那么用户就没有权限可以查看其它用户的目录,也就是说无法造成以上所说的破坏。