Preguntas con etiqueta 'mime-type'

preguntas con etiqueta
1
respuesta

tipos MIME que permiten XSS en navegadores modernos

Supongamos que es posible alojar archivos arbitrarios en goodguys.com , que se entregan con un tipo MIME controlado por el atacante y X-Content-Type-Options=nosniff . ¿Qué tipos de MIME permiten XSS cuando se usan como fuente de un i...
hecha 20.08.2017 - 12:37
1
respuesta

¿XSS vía MIME está olfateando un XSS almacenado o reflejado?

El título lo dice todo. Entiendo cómo explotar XSS mediante el rastreo de MIME, pero la pregunta es, ¿llama a este tipo de XSS almacenado o reflejado? OWASP dice    Los ataques almacenados son aquellos en los que el script inyectado está p...
hecha 25.09.2018 - 06:24
3
respuestas

Tipo MIME frente a números mágicos

Me interesa una comparación de los dos con respecto a lo que es más seguro cuando subo archivos a un sitio web (para el que soy programador). La página de Mozilla sobre tipos MIME indica que "en la Web, solo el tipo MIME es relevante y debe...
hecha 23.08.2017 - 00:10
1
respuesta

Carga segura de imágenes, o Omisión de verificación de tipo mime de PHP

Al asegurar la carga de imágenes, hay básicamente tres enfoques que conozco (por supuesto, idealmente, se usan los tres): comprobar la extensión del archivo almacenar archivos cargados en un directorio no ejecutable fuera de webroot veri...
hecha 21.02.2016 - 21:29
2
respuestas

¿Por qué se utiliza "MIME genérico" en una vulnerabilidad de seguridad?

Algunos escáneres de seguridad de aplicaciones web como Skipfish reportan la vulnerabilidad "MIME genérico utilizado". En mi caso, se informó de esta vulnerabilidad para recursos como enlace , para los cuales el encabezado Content-Type devuelto...
hecha 13.08.2017 - 00:12
0
respuestas

Escribir un navegador automatizado: ¿es arriesgado aceptar descargas de cualquier tipo mime?

Antecedentes de mi aplicación Tengo una aplicación de grabación de macros del navegador creada con Selenium. Básicamente, los usuarios pueden usar Firefox como de costumbre y grabar sus acciones en macros para reproducir. Question En S...
hecha 03.08.2016 - 21:24
2
respuestas

La carga del archivo no está verificando el tipo mime

Por lo tanto, tengo una funcionalidad de carga donde la extensión del tipo de archivo se verifica correctamente (y actualmente no se puede omitir). Pero el tipo mime no está marcado. ¿Esto me deja con algún riesgo residual o posibles "ataques"?...
hecha 14.11.2017 - 12:38