Upload - уязвимости

В случае когда веб-приложение предоставляет пользователям
возможность загрузить на сервер файл, неправильная обработка за-
грузки может привести к возможности закачки и исполнения на сер-
вере вредоносного скрипта.

Например, вы реализовали загрузку картинок и прикрепление
их в профиле пользователя на сайте, написанном на PHP. Если вме-
сто картинки злоумышленник загрузит файл скрипт с расширением
PHP
и ваш сайт будет не готов к такому повороту событий, то при
некоторых настройках веб-сервера этот скрипт можно будет вы-
полнить на сервере с правами веб-сервера,

просто отправив запрос
на скачивание закачанного скрипта.

Для исключения Upload-уязвимостей следует проверять рас-
ширение загружаемых файлов
по белому списку допустимых рас-
ширений, помещать загружаемые файлы в каталоги, из которых
запрещено выполнение скриптов веб-сервером

и следование по
символическим ссылкам при поиске файлов
и обработчиков веб-
запросов.

Категория: 
The code has been tested and works

Add new comment

Filtered HTML

  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Lines and paragraphs break automatically.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.