Preguntas con etiqueta 'file-upload'

preguntas con etiqueta
2
respuestas

¿Es php DOMDocument :: loadXML completamente seguro?

Nuestra aplicación está usando loadXML ampliamente para recibir datos (entrada) de los usuarios. Aparte de las comprobaciones habituales para las inyecciones de SQL y XXS, ¿existen riesgos conocidos al analizar el archivo xml utilizando loadXML?...
hecha 15.07.2014 - 16:54
2
respuestas

Puedo cargar cualquier archivo a una aplicación web / servidor IIS ASP, pero no sé dónde (qué carpeta), ¿esto es explotable?

Puedo cargar cualquier archivo en una aplicación web ASP / servidor IIS. Mi primer paso es cargar un shell ASP pero no sé dónde se ha cargado el archivo . He escrito un script de Python que comienza con las URL descargadas por ZAP, hace s...
hecha 26.05.2014 - 17:47
1
respuesta

Un exe renombrado que se ejecuta automáticamente

Actualmente estamos desarrollando una aplicación web que permite a los usuarios cargar archivos para que actúen como archivos adjuntos a la información que proporcionan. Obviamente, permitir que los usuarios carguen cualquier tipo de archivo...
hecha 25.03.2014 - 12:51
1
respuesta

¿Cómo asegurar la carga desde el cliente de escritorio a la aplicación web?

Digamos que tenemos una aplicación de escritorio y una aplicación web. La aplicación de escritorio carga archivos en el servidor mediante solicitudes POST a la aplicación web. ¿Cuáles son las posibilidades (excepto el uso de certificados y no...
hecha 17.04.2012 - 16:58
3
respuestas

Tipo MIME frente a números mágicos

Me interesa una comparación de los dos con respecto a lo que es más seguro cuando subo archivos a un sitio web (para el que soy programador). La página de Mozilla sobre tipos MIME indica que "en la Web, solo el tipo MIME es relevante y debe...
hecha 23.08.2017 - 00:10
1
respuesta

No se puede usar el método PUT en el servidor aparentemente permitiendo PUT [cerrado]

Acabo de escanear un objetivo y he observado que se permite HTTP PUT . Entonces, solo para verificar que usé nmap : # nmap --script http-methods <IP> Starting Nmap 7.25BETA2 ( https://nmap.org ) at 2016-11-11 15:05 CET Nm...
hecha 11.11.2016 - 15:12
1
respuesta

Lista negra de extensiones de archivo aceptadas: ¿qué tan cuidadoso necesito ser?

Actualmente, estoy trabajando en una aplicación web que permite a los usuarios cargar archivos en uno de nuestros servidores de Windows. La aplicación está construida en ASP.NET MVC con un backend de MySQL. Los archivos cargados no se almacenan...
hecha 12.05.2016 - 16:14
1
respuesta

Forzando encabezados de respuesta

Estoy probando un cuadro de vulnerabilidad en particular desde ayer y tuve un problema bastante extraño que no esperaba. Digamos que una aplicación web vulnerable ofrece carga de archivos de imagen. La imagen en realidad no tiene que ser imag...
hecha 16.01.2016 - 01:19
2
respuestas

Mantener los archivos de usuario seguros mientras se permite que una aplicación web use los archivos

Fondo corto Actualmente estoy diseñando una aplicación web en la que el usuario carga algunos archivos en el servidor y luego le pide al servidor que realice algunos cálculos basados en estos archivos (la tarea puede ponerse en cola si la c...
hecha 14.01.2016 - 23:54
1
respuesta

Carga segura de imágenes, o Omisión de verificación de tipo mime de PHP

Al asegurar la carga de imágenes, hay básicamente tres enfoques que conozco (por supuesto, idealmente, se usan los tres): comprobar la extensión del archivo almacenar archivos cargados en un directorio no ejecutable fuera de webroot veri...
hecha 21.02.2016 - 21:29