Hay publicaciones que dicen que el mimetype de php no es seguro o que se puede omitir. ¿Cómo las personas falsifican el mimetype?
Si estaba creando el encabezado en la solicitud de carga programáticamente, puede declarar los encabezados, etc. Una explicación que incluye algunos ejemplos de código.
Debes ir más allá del tipo mime y verificar el contenido. Por ejemplo, si permite una carga de imágenes, realice una conversión de la imagen en el servidor y también realice otras comprobaciones.
Es posible que desee revisar esta publicación en SO :
Los "encabezados de firma" le ayudan a decidir qué tipo de formato de imagen El archivo intenta suplantar. En un próximo paso podrás comprobar si el resto Los contenidos son compatibles con el formato de imagen subyacente. Esta le garantizaría que el archivo es realmente un archivo de imagen de ese formato específico.
También le puede interesar este artículo en GIFAR :
Llaman a este tipo de archivo GIFAR, una contracción de GIF y JAR, Dos tipos de archivos que se mezclan. En Black Hat, los investigadores mostrarán asistentes cómo crear el GIFAR mientras omite algunos detalles clave para evitar que se use de inmediato en cualquier ataque generalizado.
Para el servidor web, el archivo se ve exactamente como un archivo .gif, sin embargo un la máquina virtual Java del navegador la abrirá como un archivo Java Archive y luego ejecutarlo como un applet. Eso le da al atacante una oportunidad. para ejecutar el código Java en el navegador de la víctima. Por su parte, el navegador. trata este applet malicioso como si estuviera escrito por la Web desarrolladores del sitio.
Lea otras preguntas en las etiquetas file-upload