Задать вопрос
VladislavTsepish
@VladislavTsepish
Работаю тестировщиком
информационная-безопасность

Как протестировать форму загрузки на уязвимости?

Сейчас тестирую портал на безопасность. Встречал информацию в сети, что через загрузчик можно загрузить скрипты, для последующего выполнения на сервере. Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить. Подробной информации в сети не нашёл.
  • Вопрос задан
  • 531 просмотр
2 комментария
Подписаться 4 Оценить 2 комментария
Помогут разобраться в теме Все курсы
  • Нетология
    Специалист по информационной безопасности + нейросети
    12 месяцев
    Далее
  • Skillbox
    Профессия Специалист по информационной безопасности
    12 месяцев
    Далее
  • ProductStar
    Профессия: Инженер по информационной безопасности
    9 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 1
Labunsky
@Labunsky
Я есть на хабре
Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить.
Судя по этому - расширение проверяется не по magic number, а по куску названия, а это не комильфо - если исполняемый файл переименовать, то на его функциональность это не повлияет.

Впрочем, если волнуют .php, .py и подобные файлы, то еще дополнительно нужно проверять содержимое, так как это суть простые текстовые файлы.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Deep Learning Engineer (GigaChat Prod)
Сбер Москва
от 350 000 ₽
Инженер
Ростелеком Москва
от 73 560 до 94 700 ₽
Инженер оборудования связи
Ростелеком Москва
от 69 900 до 89 950 ₽
Ещё вакансии