VladislavTsepish
@VladislavTsepish
Работаю тестировщиком

Как протестировать форму загрузки на уязвимости?

Сейчас тестирую портал на безопасность. Встречал информацию в сети, что через загрузчик можно загрузить скрипты, для последующего выполнения на сервере. Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить. Подробной информации в сети не нашёл.
  • Вопрос задан
  • 530 просмотров
Пригласить эксперта
Ответы на вопрос 1
Labunsky
@Labunsky
Я есть на хабре
Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить.
Судя по этому - расширение проверяется не по magic number, а по куску названия, а это не комильфо - если исполняемый файл переименовать, то на его функциональность это не повлияет.

Впрочем, если волнуют .php, .py и подобные файлы, то еще дополнительно нужно проверять содержимое, так как это суть простые текстовые файлы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы