Recientemente, alguien que subió una imagen (shell.gif) a mi servidor hackeó uno de mi sitio web.
He puesto la validación del lado del servidor para verificar la extensión del archivo + el tipo mime de la imagen. Sin embargo, todavía pueden cargar shell shell usando la extensión gif nuevamente.
¿Hay alguna forma mejor de validar el archivo de imagen mediante programación si tienen alguna firma de script de shell junto a los dos métodos que mencioné anteriormente?
El error no es cómo validar el archivo. Nunca debes ejecutar ningún archivo que se cargue. Parada completa Si se supone que un archivo cargado es una imagen, entonces la cosa solo que debe hacer con él es presentarla a un programa de procesamiento de imágenes que se abrirá.
En cierto sentido, el paradigma de escritorio completo de adivinar el programa correcto para abrir un archivo mirando su nombre y / o contenido es una idea terrible, y absolutamente no debe ser utilizada por los servidores. con datos no fiables.
Lea otras preguntas en las etiquetas file-upload shellcode