Domande con tag 'file-upload'

1
risposta

È sicuro conservare il codice binario di un virus sul computer locale?

È sicuro conservare un file contenente il codice del virus (binario?) sul computer locale senza eseguirlo? Sto testando la mia applicazione contro i caricamenti di file dannosi e mi chiedo se è sicuro caricare questo virus nella mia applicazione...
posta 03.09.2015 - 10:12
2
risposte

Esegui uno script php caricato su un server vulnerabile se so che è la posizione? [chiuso]

Ho bisogno di testare un sito Web e ho trovato un caricamento di file vulnerabile. Viene controllato solo se l'estensione del file è .jpg, .png o .pdf. Posso bypassare questo caricando un file chiamato script.php.jpg . So che i file caricati...
posta 24.06.2018 - 16:43
1
risposta

Prevenire il caricamento di malware sul server modificando tutte le estensioni in PNG?

Ok, quindi ho il mio sito web, e puoi usare il caricamento del file un po ', ed è molto importante per il sito. Tuttavia, ho sentito dire che i clienti possono ancora bypassare le restrizioni dell'estensione dei file (permetto solo PNG e JPG), e...
posta 08.05.2016 - 04:55
1
risposta

Bypass Text Plain Rule

Voglio sapere se posso consentire il caricamento di tutti i tipi di script e aggiungere queste regole a una configurazione di host virtuale; quindi per favore avvisami e dimmi se ci saranno degli exploit che possono essere usati per bypassare qu...
posta 09.10.2014 - 13:56
3
risposte

Download sicuro dei contenuti inviati dagli utenti

TL; DR Salviamo il carico utile della richiesta e l'intestazione Content-Type in un database. Dovrebbe essere JSON o CSV ma potrebbe non essere corretto. Supporta gli utenti a scaricare il carico utile della richiesta come file nei loro b...
posta 31.03.2016 - 18:02
2
risposte

Upload immagine PHP - Sicurezza di memorizzazione all'esterno di root e accesso tramite readfile ()

Recentemente ho iniziato a immagazzinare caricamenti di immagini al di fuori del webroot e recuperarli tramite readfile (). Ho implementato questo e sta funzionando bene, ma ero curioso di sapere se ci sono ulteriori vulnerabilità che esistono a...
posta 03.03.2016 - 23:44
1
risposta

È sicuro mettere online l'output di 'strace'?

A scopo di debug, si potrebbe chiedere di mettere l'output di strace per qualche processo online, cioè collegato a una segnalazione di bug. Questo è sicuro in generale? In quali circostanze questo è sicuro o pericoloso e come dovrei elab...
posta 08.06.2014 - 23:49
1
risposta

Path traversal tramite nomefile

È possibile eseguire l'attraversamento del percorso impostando il nome file di un percorso caricato per includere un percorso? Windows / Linux / qualsiasi altro sistema operativo consente nomi di file del genere? Ad esempio, nominando un file...
posta 11.01.2018 - 06:20
1
risposta

RFI: è possibile anche se si utilizza un server applicazioni?

Poiché JBoss funge da middleware - Application Server - mi chiedevo se è ancora possibile affrontare attacchi File Inclusion. (?) Il motivo per cui stavo vagando è che, in tal caso, nessuna richiesta verrà inviata direttamente a qualsiasi server...
posta 14.01.2017 - 13:33
2
risposte

Il caricamento delle immagini su un database è sicuro se ridimensioni l'immagine prima in byte non elaborati?

Vedi il codice di caricamento qui sotto. il metodo è chiamato all'interno di una prova, cattura. Se è necessario il codice per le utility immagine, basta dire. Fondamentalmente, tutto viene gestito in byte non elaborati e quindi archiviato nel D...
posta 19.03.2016 - 20:51