Задать вопрос
VladislavTsepish
@VladislavTsepish
Работаю тестировщиком
информационная-безопасность

Как протестировать форму загрузки на уязвимости?

Сейчас тестирую портал на безопасность. Встречал информацию в сети, что через загрузчик можно загрузить скрипты, для последующего выполнения на сервере. Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить. Подробной информации в сети не нашёл.
  • Вопрос задан
  • 523 просмотра
2 комментария
Подписаться 4 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 1
Labunsky
@Labunsky
Я есть на хабре
Форма фильтрует загружаемые файлы по расширению, можно загрузить файл script.php.jpg, но можно ли эту теоретическую уязвимость (если это уязвимость вообще) раскрутить.
Судя по этому - расширение проверяется не по magic number, а по куску названия, а это не комильфо - если исполняемый файл переименовать, то на его функциональность это не повлияет.

Впрочем, если волнуют .php, .py и подобные файлы, то еще дополнительно нужно проверять содержимое, так как это суть простые текстовые файлы.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
DevSecOps
Outlines Tech
от 300 000 до 350 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Нарисовать GIF Banner
28 апр. 2024, в 19:54
2000 руб./за проект
Продажа кода fasm_x64
28 апр. 2024, в 19:54
5000 руб./за проект
Bybit Копитрейдинг Puppeeter
28 апр. 2024, в 19:44
10000 руб./за проект
Ещё заказы