Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach i zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.

Zagadnienia poruszane w tym artykule:

• Dopuszczanie wszystkich typów plików;
• Spojrzenie server-side;
• Spojrzenie client-side;
• Czarna lista rozszerzeń;
• Zbyt uboga czarna lista;
• Plik o wielu rozszerzeniach;
• Biała lista rozszerzeń;
• Niewłaściwa biała lista;
• Zuploadowanie pliku Flasha;
• Metody ochrony.

Artykuł pochodzi z miesięcznika "Programista" nr 06/2015 (37). Spis treści całego wydania: http://programistamag.pl/programista-6-2015-37/

Autorem artykułu jest Michał Bentkowski, który realizuje testy penetracyjne oraz audyty bezpieczeństwa w firmie Securitum. Autor w serwisie sekurak.pl. Aktywnie (i z sukcesem) uczestniczy w znanych programach bug bounty.

Zamów w prenumeracie: >>formularze zamówienia<<