Preguntas con etiqueta 'file-upload'

1
respuesta

CSRF ataque en la funcionalidad de carga de archivos

¿Es posible realizar ataques CSRF en la funcionalidad de carga de archivos? Mi aplicación carga archivos mediante el envío de solicitudes POST multipart / form-data sin ningún token aleatorio. ¿Es posible preparar un formulario HTML que demuestr...
hecha 12.12.2017 - 18:42
1
respuesta

Impedir script de shell dentro del archivo de imagen

Recientemente, alguien que subió una imagen (shell.gif) a mi servidor hackeó uno de mi sitio web. He puesto la validación del lado del servidor para verificar la extensión del archivo + el tipo mime de la imagen. Sin embargo, todavía pueden c...
hecha 22.05.2015 - 11:01
3
respuestas

Función de carga de archivos de prueba

La función de carga de archivos (reanudar) está aceptando cualquier tipo de archivos. He subido el shell de PHP en él. ¿Cómo accedo nuevamente a ese archivo cargado? Estoy forzando bruscamente el directorio web para verificar la ruta del archivo...
hecha 26.10.2012 - 07:59
3
respuestas

Susceptibilidad de archivos de archivo encriptados 7z al hombre en los ataques medios

Dio : Un archivo (se supone que tiene un tamaño de 1 GB) se cifra junto con los nombres de archivo utilizando 7zip en un archivo 7z usando AES-256 El archivo se carga en un servicio de almacenamiento en la nube como los que ofrece Google,...
hecha 24.02.2018 - 00:20
2
respuestas

Así que necesito descomprimir y procesar los archivos zip enviados por el usuario. ¿Cómo hacerlo de manera segura?

Estoy escribiendo un sistema que acepta archivos zip de usuarios finales. El título lo dice todo: ¿qué precauciones debo tomar para garantizar que mi servidor de procesamiento no se vea comprometido cuando necesito descomprimir un conjunto de...
hecha 15.05.2015 - 05:29
2
respuestas

¿La apertura de un archivo arbitrario en un idioma (como Python) representa un riesgo para la seguridad?

Por ejemplo, si un cliente envía un archivo a un servidor y el servidor abre el archivo en modo de lectura con Python: with open(uploaded_file, "r") as f: # Do something ¿Se podría abusar del acto de abrir un archivo con un archivo inge...
hecha 11.02.2018 - 11:27
1
respuesta

Dónde almacenar las imágenes cargadas desde la perspectiva de la seguridad

Es bastante común que los archivos cargados (imágenes, videos, etc.) se almacenen en un servidor de archivos por razones de rendimiento y tiempo de recuperación de la base de datos. Pero, ¿existe el beneficio de almacenar dichos archivos en la b...
hecha 13.09.2014 - 20:25
3
respuestas

Cargar archivos a través de una aplicación web HTTPS

Tenemos un sitio web orientado al cliente. Se requiere un certificado para aterrizar en la página de inicio de sesión, donde luego necesitará un username y un password para iniciar sesión. El sistema tiene servidores Apache que act...
hecha 04.07.2013 - 15:06
1
respuesta

Vulnerabilidad de carga del archivo: ¿cambiar el nombre de la solución?

Tengo un módulo en el que el usuario puede subir imágenes. Busqué en Google diferentes tipos de ataques de carga verificación de la dimensión de la imagen (aún vulnerable) comprobación de la extensión de archivo mypicture.php% 00.jpg (to...
hecha 06.11.2012 - 05:06
2
respuestas

¿Por qué debería estar presente crossdomain.xml si existen archivos subidos por el usuario?

En su libro, Michal Zalewski dice:    Para proteger a sus usuarios, incluya un archivo crossdomain.xml de nivel superior con el parámetro de políticas de dominio cruzado permitido establecido en solo maestro o por tipo de contenido, incluso s...
hecha 20.03.2012 - 12:18