我计划将 PhantomJS 作为网页截图服务运行。我担心安全性。如果用户要求提供有害(恶意软件或类似内容)的网页截图怎么办?这会损害服务器吗?
答案1
两个主要威胁是:
- 利用 Webkit 漏洞或 Webkit/PhantomJS 加载的插件。这可能允许在您的服务器上执行任意代码。
- 本地访问您的服务器。您很可能只允许访问本地主机的某些内部服务(redis 服务器、数据库服务器、数据库管理、工具等)。现在您的 Web 客户端也可以访问本地主机。这扩展到任何本地 IP。
除了安全问题之外,您还需要担心其他一些“烦恼”:
- 下载可能填满你的硬盘的大文件
- 页面上的 DoS 攻击可能不会对网站构成威胁,但足以将你列入黑名单
- 通过“伪造”对某些敏感网站(.gov、.mil)的某种攻击(XSS、SQLI 等)来触发安全响应
- 访问禁止内容(下载种子文件、儿童色情内容等)