Preguntas con etiqueta 'file-upload'

preguntas con etiqueta
4
respuestas

¿Es seguro almacenar y reproducir los tipos mime proporcionados por el usuario?

Si un usuario carga un archivo pero modifica la solicitud configurando el tipo mime en algo arbitrario, como "superdangerous / blackhatstuff", es seguro para mí enviar el mismo tipo mime a otro usuario más tarde en? I.e. otro usuario descar...
hecha 03.11.2011 - 21:35
3
respuestas

¿X-Content-Type-Type realmente evita los ataques de sniffing de contenido?

En la Web enredada, Michal Zalewski dice:    Abstenerse de usar Content-Type: application / octet-stream y use application / binary en su lugar, especialmente para tipos de documentos desconocidos. Abstenerse de devolver Content-Type: text /...
hecha 20.03.2012 - 12:35
6
respuestas

¿Hay alguna forma de verificar el tipo de archivo de un archivo cargado usando PHP?

No quiero que solo compruebe la extensión del archivo, ya que se pueden falsificar fácilmente, incluso los tipos MIME se pueden falsificar utilizando herramientas como TamperData. Entonces, ¿hay una forma mejor de verificar los tipos de arc...
hecha 13.05.2014 - 14:41
4
respuestas

¿Es seguro servir cualquier archivo subido por el usuario solo con los tipos de contenido MIME incluidos en la lista blanca?

Digamos que desarrollo una aplicación que, Permite a cualquier usuario cargar un archivo de solo tipo de contenido y extensiones de mimo en lista blanca (word y pdf). Sirve esos archivos con la extensión permitida y el tipo de contenido....
hecha 15.02.2012 - 18:17
3
respuestas

¿Cuál es el siguiente paso de este ataque de carga de archivos?

Ayer descubrí que alguien había subido este código PHP a mi servidor como un archivo .jpg a través del formulario "Sube su imagen de perfil" de la aplicación MVC de asp.net. Creo que el ataque no tuvo éxito por varias razones (a las imágenes s...
hecha 13.03.2013 - 19:27
8
respuestas

Mantenga los archivos cifrados sincronizados en un servicio en la nube, sin tener que cargar un volumen cifrado completo cada vez

Situación: El usuario tiene varias carpetas por valor de GB que desea mantener en sincronizar en un servicio en la nube (por ejemplo, Mega o Dropbox) en forma cifrada; El usuario no desea sincronizar un solo volumen cifrado, porque es...
hecha 09.02.2017 - 13:23
3
respuestas

¿Usando la combinación de extensión de archivo y tipo MIME (como resultado de la salida del archivo -i -b) para determinar los archivos no seguros?

Permitimos a los usuarios cargar una cantidad de archivos, todos los cuales enviamos a scribd (doc, xls, ppts, etc.) o los mostramos como un video (flv, mov, mp4, etc. en flowplayer). Para evitar que los usuarios carguen archivos inseguros, v...
hecha 24.09.2011 - 12:44
3
respuestas

¿Es posible inyectar HTML en la imagen para provocar XSS?

Algunas respuestas mencionan que es posible a inyectar HTML controlado por el atacante en las imágenes y, por lo tanto, provocar XSS. Supongo que este HTML solo será procesado por el navegador si existe un agujero en el navegador. Así que...
hecha 11.05.2012 - 20:50
3
respuestas

Explotación de un servidor PHP con una carga de archivo .jpg

Me gustaría hacer una pregunta sobre el clásico de carga de una imagen y la ejecución de código PHP en un sitio web. Así que he estado probando este exploit en un sitio web que debo hackear (está configurado para que lo intentemos y lo hagamo...
hecha 27.01.2016 - 19:50
3
respuestas

¿Cómo funciona SFTP sin un par de clave pública / privada generado manualmente?

Estoy aprendiendo sobre SSH y cómo usarlo para asegurar transferencias de archivos y comandos entre una máquina Windows y un servidor Linux. Todo lo que he leído hasta ahora indica que necesito usar un cliente SFTP (como WinSCP) para conectarme...
hecha 16.04.2014 - 16:17