Preguntas con etiqueta 'file-upload'

2
respuestas

¿Ejecutar un script php cargado en un servidor vulnerable si sé su ubicación? [cerrado]

Necesito probar un sitio web y encontré una carga de archivo vulnerable. Solo se verifica si la extensión del archivo es .jpg, .png o .pdf. Puedo omitir esto cargando un archivo llamado script.php.jpg . Sé que los archivos cargados se alma...
hecha 24.06.2018 - 16:43
1
respuesta

¿Evita que se carguen malware en el servidor cambiando todas las extensiones a PNG?

Bien, tengo mi propio sitio web, y puedes usar la carga del archivo bastante, y es muy importante para el sitio. Sin embargo, he escuchado que los clientes aún pueden omitir las restricciones de extensión de un archivo (solo permito PNG y JPG),...
hecha 08.05.2016 - 04:55
1
respuesta

Omitir regla simple de texto

Quiero saber si puedo permitir la carga de todos los tipos de scripts y agregar estas reglas a una configuración de host virtual; así que avisa y dime si habrá algunas vulnerabilidades que se puedan usar para eludir estas reglas de seguridad (en...
hecha 09.10.2014 - 13:56
3
respuestas

Descarga segura del contenido enviado por el usuario

TL; DR Guardamos la carga útil de solicitud y el encabezado Content-Type en una base de datos. Debe ser JSON o CSV pero puede tener un formato incorrecto. Los usuarios de soporte descargan la carga útil de solicitud como un archivo en s...
hecha 31.03.2016 - 18:02
2
respuestas

Carga de imágenes PHP - Seguridad de almacenamiento fuera de la raíz y acceso mediante el archivo de lectura ()

Recientemente comencé a almacenar cargas de imágenes fuera de webroot y recuperarlas a través de readfile (). Implementé esto y está funcionando bien, pero tenía curiosidad por si existían otras vulnerabilidades en este método. Si tomo el con...
hecha 03.03.2016 - 23:44
1
respuesta

¿Es seguro poner en línea la salida de 'strace'?

Para propósitos de depuración, se le puede pedir a uno que ponga el resultado de strace para algún proceso en línea, es decir, adjunto a un informe de error. ¿Esto es seguro en general? ¿En qué circunstancias es seguro o inseguro y cóm...
hecha 08.06.2014 - 23:49
1
respuesta

Traversal a través del nombre de archivo

¿Es posible realizar un recorrido de ruta configurando el nombre de archivo de una ruta cargada para incluir una ruta? ¿Windows / Linux / cualquier otro sistema operativo permite tales nombres de archivo? Por ejemplo, nombrar un archivo "../t...
hecha 11.01.2018 - 06:20
1
respuesta

RFI: ¿esto es posible incluso si utiliza un servidor de aplicaciones?

Dado que JBoss está actuando como un middleware - Servidor de aplicaciones - Me preguntaba si todavía es posible enfrentar los ataques de inclusión de archivos. (?) La razón por la que estaba vagando es que, en tal caso, no se enviará ninguna so...
hecha 14.01.2017 - 13:33
2
respuestas

¿Es segura la carga de imágenes a una base de datos si cambia el tamaño de la imagen primero en bytes sin procesar?

Por favor, vea el código de carga a continuación. El método se llama dentro de un try, catch. Si se necesita el código para las utilidades de imagen, simplemente diga. Básicamente, todo se maneja en bytes sin procesar y luego se almacena en la b...
hecha 19.03.2016 - 20:51
2
respuestas

¿Cuál es la forma más confiable de demostrar la integridad de los archivos digitales?

Estoy buscando garantizar la integridad de los archivos cargados y demostrar esta integridad a un usuario. En mi situación actual, un usuario envía varios archivos en varios formatos diferentes, estos archivos se transportan a un dispositivo...
hecha 27.08.2015 - 17:23