Preguntas con etiqueta 'file-upload'

1
respuesta

Seguridad de activos / medios en s3

Tengo mi solicitud escrita en Flask (Python 3.6) y ejecutada en EB. Necesito implementar un editor de contenido que permita cargar archivos en el servidor y me gustaría almacenarlos en s3. La mayoría de los archivos cargados estarán disponibl...
hecha 04.10.2017 - 08:05
1
respuesta

¿Por qué alguien cargaría muchos archivos de iptables durante una violación de seguridad y son motivo de preocupación?

Mi lugar de trabajo tuvo varios fallos de seguridad de acceso no autorizados durante el último mes. Desde entonces, la mayoría de las computadoras han sido borradas y las cuentas de usuario eliminadas. Los datos se recuperaron de las copias de s...
hecha 28.04.2016 - 17:29
2
respuestas

Eliminando vulnerabilidades de los archivos cargados

Nuestro sitio web tiene un formulario que permite a los usuarios cargar archivos de imagen (png, gif, jpeg y pdf). Una vez cargado, el sitio web envía el archivo (de servidor a servidor) a la API de back office, que luego guarda la imagen en...
hecha 02.12.2015 - 15:19
2
respuestas

¿Es posible explotar una carga de archivos con la lista blanca y el hash de nombre de archivo?

Tengo una pequeña aplicación web. Debido a que es necesario cargar algunos archivos, reviso las extensiones de archivo con una lista blanca (tgz, jpg, png, pdf, zip, rar, txt, gif, py, c, rb). Además de eso, tengo el hash de los nombres de archi...
hecha 18.11.2014 - 18:05
1
respuesta

¿Cuáles son los riesgos al procesar un documento con el PDI de Apache?

Apache POI es una biblioteca de Java para procesar documentos de oficina. ¿Cuáles son los riesgos asociados con el procesamiento de documentos no fiables? Por ejemplo, un sitio web que permite a los usuarios cargar documentos que se procesa...
hecha 19.06.2014 - 16:06
1
respuesta

Métodos para cargar shell en un sitio web

Sé que los shells se pueden cargar a través de inyección de SQL, la inclusión remota de archivos y la explotación del propio mecanismo de carga de la aplicación web. ¿Hay otras formas de cargar un shell en un sitio web y poder ejecutar comandos?...
hecha 22.02.2013 - 09:59
3
respuestas

Explotación de XSS en el nombre de archivo sin usar /

Estoy intentando explotar una vulnerabilidad en el campo de nombre de archivo de una carga de archivo. La aplicación web no valida correctamente el nombre de archivo del archivo cargado y, como resultado, existe una vulnerabilidad almacenada de...
hecha 19.04.2018 - 20:40
1
respuesta

Carga arbitraria de archivos, sirve JPG como PHP

Estoy probando exploits antiguos y aleatorios de WordPress en mi servidor local, actualmente estoy en el proceso tratando de hacer que éste funcione: enlace No lee ningún encabezado, parece que filtra las extensiones de archivo. Puedo su...
hecha 06.06.2015 - 13:06
1
respuesta

¿Puede un PDF cargado inaccesible dañar un servidor?

¿Es posible que un archivo PDF cargado dañe un servidor Apache, si no se puede encontrar la ruta de archivo? Es decir, el archivo PDF no se puede ver desde el navegador ni se puede acceder a él por una ruta conocida una vez cargado. Tengo una...
hecha 21.02.2014 - 19:13
1
respuesta

¿Es seguro invocar funciones GD de PHP si no sabe si el archivo es una imagen válida?

Hay una función de carga de imágenes en la aplicación web. Una vez que se ha cargado la imagen, se redimensiona usando funciones de PHP GD como imagecopyresampled y otros. Antes de invocar las funciones de PHP GD, no hay una validación...
hecha 26.09.2012 - 17:08