Domande con tag 'file-upload'

domande con tag
2
risposte

Perché dovrebbe essere presente crossdomain.xml se esistono file caricati dall'utente?

Nel suo libro Michal Zalewski dice: To protect your users, include a top-level crossdomain.xml file with the permitted-cross-domain-policies parameter set to master-only or by-content-type, even if you do not use Flash anywhere on your site...
posta 20.03.2012 - 12:18
1
risposta

Sicurezza delle risorse / media su s3

Ho ottenuto la mia applicazione scritta in Flask (Python 3.6) e in esecuzione su EB. Ho bisogno di implementare un content editor che permetta di caricare file sul server e vorrei memorizzarli su s3. La maggior parte dei file caricati sarà di...
posta 04.10.2017 - 08:05
1
risposta

Perché qualcuno dovrebbe caricare molti file iptables durante una violazione della sicurezza e sono motivo di preoccupazione?

Il mio posto di lavoro ha avuto più errori di sicurezza di accesso non autorizzati nell'ultimo mese. Da allora, la maggior parte dei computer è stata ripulita e gli account utente eliminati. I dati sono stati recuperati da backup offsite e appar...
posta 28.04.2016 - 17:29
2
risposte

Rimozione delle vulnerabilità dai file caricati

Il nostro sito Web ha un modulo che consente agli utenti di caricare file immagine (png, gif, jpeg e pdf). Una volta caricato, il sito Web invia il file (da server a server) all'api del back office, che salva l'immagine sul disco. Nel back...
posta 02.12.2015 - 15:19
2
risposte

È possibile sfruttare un caricamento di file con whitelist e hashing del nome del file?

Ho una piccola applicazione web. Poiché è necessario caricare alcuni file, controllo le estensioni di file con una lista bianca (tgz, jpg, png, pdf, zip, rar, txt, gif, py, c, rb). In aggiunta a ciò, ho cancellato i nomi dei file con md5 quindi...
posta 18.11.2014 - 18:05
1
risposta

Quali sono i rischi durante l'elaborazione di un documento con POI Apache?

Apache POI è una libreria Java per l'elaborazione di documenti di Office. Quali sono i rischi associati all'elaborazione di documenti non fidati? Ad esempio, un sito Web che consente agli utenti di caricare documenti elaborati utilizzando P...
posta 19.06.2014 - 16:06
1
risposta

Metodi per caricare la shell su un sito web

So che le shell possono essere caricate tramite SQL injection, l'inclusione di file remoti e l'utilizzo del meccanismo di caricamento dell'app stessa. Esistono altri modi per caricare una shell su un sito Web e poter eseguire comandi?     
posta 22.02.2013 - 09:59
3
risposte

Sfruttare XSS nel nome del file senza usare /

Sto cercando di sfruttare una vulnerabilità nel campo del nome file di un caricamento di file. L'applicazione Web non convalida correttamente il nome file del file caricato e, di conseguenza, esiste una vulnerabilità di scripting tra siti memori...
posta 19.04.2018 - 20:40
1
risposta

Caricamento file arbitrario, serve JPG come PHP

Sto provando casuali exploit WordPress più vecchi sul mio server locale, al momento sto cercando di farlo funzionare: link Non legge alcuna intestazione, sembra solo filtrare le estensioni dei file. Sono in grado di caricare file {Filen...
posta 06.06.2015 - 13:06
1
risposta

Un PDF caricato inaccessibile può danneggiare un server?

È possibile che un file PDF caricato danneggi un server Apache, se non è possibile trovare il percorso file? Cioè, il file PDF non può essere visualizzato dal browser o accessibile da un percorso conosciuto una volta caricato. Ho una funziona...
posta 21.02.2014 - 19:13