Разрешение загрузки через вики, что в некоторых случаях является привлекательной функцией, позволяет
возможность различных атак на сервер. К сожалению, вероятно, недостаточно просто
для ограничения (*nix-style) разрешений на выполнение в каталоге загрузки. Вместо этого вы должны
гарантировать, что вики никогда не сможет напрямую выполнить какой-либо загруженный файл, который может быть
вредоносный скрипт.
Вики-модель с централизованной библиотекой скриптов в директории cgi-bin на сервере
несколько более безопасным в этом отношении по сравнению с базовой моделью QuickiWiki, которая
по умолчанию имеет модули сценариев в пользовательских каталогах. Возможность загрузить файл и отредактировать
ссылка на вики-страницу, так что выполнение вызывается самой вики, представляет собой серьезную безопасность
риск в общедоступной вики, если она работает с неподходящим уровнем разрешений.
Это может быть в некоторой степени компенсировано тщательными директивами сервера по каталогам и файлам.
в каждой локации. (Для Swiki это предостережение распространяется на общую возможность
«вставить» или «оценить» код Squeak, который может свободно модифицировать сервер, Squeak
среда и поведение виртуальной машины.)
Эти риски обычно устраняются путем ограничения возможности загрузки набором
«доверенные пользователи» — другими словами, смещение этой проблемы безопасности к одной из аутентификации и
контроль доступа.
Скриптовые атаки
Недавнее общее предупреждение системы безопасности касалось способности тегов сценариев и встроенных
код на обычных веб-страницах для выполнения вредоносных атак на клиентскую систему или,
используя перенаправление, на другой веб-сайт. Эта возможность более подробно описана в
Глава 9.
Эта уязвимость также относится к любой вики, которая допускает HTML-разметку или
JavaScript в исходном тексте. Это позволяет сторонним вредоносным скриптам на стороне клиента
атаки. Некоторая мера защиты может быть реализована фильтрами или «неполными»
Поддержка HTML для классов тегов, подверженных наибольшему риску.
Совет 3.12. Разметка в виде обычного текста безопасна
Основная модель вики-разметки с простой текстовой разметкой по определению невосприимчива к такого рода
уязвимость, если соответствующие сценарии не реализованы другими способами.