Ci sono post che dicono che il php mimetype non è sicuro o che può essere ignorato. In che modo le persone falsificano il mimetype?
Se stavi creando l'intestazione sulla richiesta di upload a livello di codice, puoi dichiarare le intestazioni, ecc. Una spiegazione che include alcuni esempi di codice.
Dovresti andare oltre il tipo di mimo e controllare il contenuto. Ad esempio, se consenti il caricamento di un'immagine, esegui una conversione dell'immagine sul server e esegui anche altri controlli.
Potresti voler controllare questo post su SO :
The "signature headers" help you to decide what kind of image format a file tries to impersonate. In a next step you could check if the rest of the contents are compliant with the underlying image format. This would guarantee you that the file is really an image file of that specific format.
Potresti anche essere interessato a questo articolo su GIFAR :
They call this type of file a GIFAR, a contraction of GIF and JAR, the two file types that are mixed. At Black Hat, the researchers will show attendees how to create the GIFAR while omitting a few key details to prevent it from being used immediately in any widespread attack.
To the Web server, the file looks exactly like a .gif file, however a browser's Java virtual machine will open it up as a Java Archive file and then run it as an applet. That gives the attacker an opportunity to run Java code in the victim's browser. For its part, the browser treats this malicious applet as though it were written by the Web site's developers.
Leggi altre domande sui tag file-upload