Domande con tag 'file-upload'

4
risposte

È sicuro memorizzare e riprodurre tipi mime forniti dall'utente?

Se un utente carica un file ma modifica la richiesta impostando il tipo mime su qualcosa di arbitrario, come "superdangerous / blackhatstuff", è sicuro per me inviare lo stesso tipo di mime a un altro utente più tardi su? vale a dire. un al...
posta 03.11.2011 - 21:35
3
risposte

X-Content-Type-Options previene davvero gli attacchi di sniffing dei contenuti?

In Tangled Web Michal Zalewski dice: Refrain from using Content-Type: application/octet-stream and use application/binary instead, especially for unknown document types. Refrain from returning Content-Type: text/plain. For example, any...
posta 20.03.2012 - 12:35
6
risposte

Esiste un modo per verificare il tipo di file di un file caricato tramite PHP?

Non voglio che controlli l'estensione del file perché questi possono essere facilmente falsificati anche se i tipi MIME possono essere falsificati usando strumenti come TamperData. Quindi c'è un modo migliore per verificare i tipi di file i...
posta 13.05.2014 - 14:41
4
risposte

È sicuro servire qualsiasi file caricato dall'utente sotto i soli tipi di contenuto MIME in lista bianca?

Diciamo che sviluppo un'applicazione che, Consente a qualsiasi utente di caricare un file di tipo di contenuto e estensioni mime elencati in bianco (parola e pdf). Fornisce i file con l'estensione e il tipo di contenuto consentiti. Ques...
posta 15.02.2012 - 18:17
3
risposte

Qual è il prossimo passo di questo attacco di caricamento file?

Ieri ho scoperto che qualcuno aveva caricato questo Codice PHP al mio server come file .jpg tramite il modulo "Carica la tua immagine del profilo" dell'applicazione asp.net MVC. Credo che l'attacco non abbia avuto successo per una serie di mot...
posta 13.03.2013 - 19:27
8
risposte

Tieni sincronizzati i file crittografati su un servizio cloud, senza dover caricare un intero volume crittografato ogni volta

Situazione: L'utente ha diverse cartelle del valore di GB che desidera conservare sincronizzazione su un servizio cloud (ad esempio Mega o Dropbox) in forma crittografata; L'utente non desidera sincronizzare un singolo volume crittogr...
posta 09.02.2017 - 13:23
3
risposte

Usando la combinazione di estensione del file e tipo MIME (come output per file -i -b) per determinare i file non sicuri?

Permettiamo agli utenti di caricare un numero di file, che inviamo a scribd (doc, xls, ppt, ecc.) o mostriamo come video noi stessi (flv, mov, mp4, etc in flowplayer). Per evitare che gli utenti caricino file non sicuri, controlliamo un insie...
posta 24.09.2011 - 12:44
3
risposte

È possibile iniettare HTML nell'immagine per provocare XSS?

Alcune risposte indicano che è possibile a inietti HTML controllato dagli autori di attacchi in immagini e quindi provoca XSS. Immagino che questo HTML verrà elaborato dal browser solo se il foro esiste nel browser. Quindi penso che sia p...
posta 11.05.2012 - 20:50
3
risposte

Sfruttare un server PHP con un caricamento di file .jpg

Vorrei porre una domanda riguardante il classico caricamento di un'immagine e l'esecuzione di exploit di codice php su un sito Web. Quindi ho provato questo exploit su un sito Web che dovrei hackerare (è stato creato per noi per tentare di ha...
posta 27.01.2016 - 19:50
3
risposte

Come funziona SFTP senza una coppia di chiavi pubblica / privata generata manualmente

Sto imparando su SSH e su come usarlo per proteggere i trasferimenti di file e i comandi tra una macchina Windows e un server Linux. Tutto ciò che ho letto finora indica che ho bisogno di usare un client SFTP (come WinSCP) per connettermi al mio...
posta 16.04.2014 - 16:17