В компании, с которой я работаю, недавно были задействованы многие эксплоиты для встраивания заголовков и загрузки файлов на узлах, которые мы размещаем, и хотя мы исправили проблему в отношении атак на вставку заголовков, нам еще предстоит получить подсистемы подгрузки.
Я пытаюсь настроить серию сценариев загрузки "plug-and-play-type" для использования внутри компании, которые дизайнер может скопировать в свою структуру сайта, изменить несколько переменных и иметь готовые к использованию загрузить форму на свой сайт. Мы стремимся максимально ограничить нашу экспозицию (мы уже закрыли команды fopen и shell).
Я искал сайт в течение последнего часа и нашел много разных ответов, касающихся конкретных методов, которые полагаются на внешние источники. Что вы считаете лучшим решением script, которое достаточно конкретно для использования в качестве надежного метода защиты? Кроме того, я бы хотел, чтобы язык был ограничен PHP или псевдокодом, если это возможно.
Изменить: Я нашел свой ответ (размещен ниже) и, хотя он использует команду оболочки exec(), если вы блокируете script файлы от загрузки (что решение очень хорошо), вы не столкнетесь с какими-либо проблемами.