Domande con tag 'mime-type'

domande con tag
1
risposta

Tipi MIME che consentono XSS nei browser moderni

Supponiamo che sia possibile ospitare file arbitrari su goodguys.com , che sono forniti con un tipo MIME controllato da un aggressore e X-Content-Type-Options=nosniff . Quali tipi MIME consentono XSS se usato come src di un iframe, desti...
posta 20.08.2017 - 12:37
1
risposta

XSS via MIME annusa un XSS memorizzato o riflesso?

Il titolo dice tutto. Capisco come sfruttare XSS tramite lo sniffing MIME, ma la domanda è: si chiama questo tipo di XSS memorizzato o riflesso? OWASP dice Stored attacks are those where the injected script is permanently stored on the...
posta 25.09.2018 - 06:24
3
risposte

Tipo MIME vs numeri magici

Sono interessato a un confronto tra i due riguardo a cosa è più sicuro quando si caricano file su un sito Web (che sono un programmatore per). La pagina di Mozilla sui tipi MIME afferma che "Sul Web, solo il tipo MIME è rilevante e dovrebbe...
posta 23.08.2017 - 00:10
1
risposta

Caricamento immagine sicuro, o Bypassare controllo mime di tipo PHP

Quando si proteggono i caricamenti di immagini ci sono fondamentalmente tre approcci che conosco (ovviamente, idealmente, tutti e tre sono usati): controlla l'estensione del file archivia i file caricati nella directory non eseguibile al d...
posta 21.02.2016 - 21:29
2
risposte

Perché "MIME generico utilizzato" è una vulnerabilità di sicurezza?

Alcuni scanner di sicurezza di applicazioni Web come Skipfish segnalano una vulnerabilità "MIME generico utilizzato". Nel mio caso questa vulnerabilità è stata segnalata per risorse come link , per le quali l'intestazione Content-Type restituit...
posta 13.08.2017 - 00:12
0
risposte

Scrittura di un browser automatico: è rischioso accettare download di qualsiasi tipo MIME?

Sfondo della mia app Ho un'app di registrazione delle macro del browser costruita con Selenium. Fondamentalmente gli utenti possono usare Firefox come normale e registrare le loro azioni in macro per riprodurre. Domanda In Selenium,...
posta 03.08.2016 - 21:24
2
risposte

Il caricamento del file non verifica il tipo mime

Quindi, ho una funzionalità di upload in cui l'estensione del tipo di file è stata verificata correttamente (e non è attualmente bypassabile). Ma il tipo MIME non è controllato. Questo mi lascia qualche rischio residuo o possibili "attacchi". Do...
posta 14.11.2017 - 12:38