Introduction.
Many web applications allow users to upload files:
- Web forums let users upload avatars.
- Photo galleries let users upload pictures.
- Collavorative and social networking web sites may allow uploading pictures, videos, documents, etc...
PHP makes file uploading very easy, allowing users to upload any file to your server. But with ease come huge security issues. Though it is not an issue with PHP itself but rather with people using PHP's facilities without understanding the implications.
Almost every application or website I have tested suffered from a variety of security problems, ranging from arbitrary file disclosure to remote arbitrary code execution. In this first article I am going to point out a security hole occurring in file upload implementations. Next time, I will suggest a way to implement a secure file upload, followed by a new way to bypass it and so on.
Happy uploading!
Marcar como favorito
Email This
Hits: 1091
Comentarios (5)
problema con code
escrito por 99876 , 07, octubre, 2009
Buenos dias, mira estoy utilizando lampp para hacer las pruebas. Y el problema que tengo es que el codigo php de upload1.php siempre me da "Uploading Failed".
Tengo conocimientos en php por lo que quisiera creer que esta bien codeado, por eso queria preguntarte si hay algo que puede estar influyendo en que me de ese resultado.
Te dejo igualmente el code si lo podes ver y decirme a simple vista si ves algo mal, desde ya muchisimas gracias tanto por la ayuda como por los videos.
escrito por 99876 , 07, octubre, 2009
Buenos dias, mira estoy utilizando lampp para hacer las pruebas. Y el problema que tengo es que el codigo php de upload1.php siempre me da "Uploading Failed".
Tengo conocimientos en php por lo que quisiera creer que esta bien codeado, por eso queria preguntarte si hay algo que puede estar influyendo en que me de ese resultado.
Te dejo igualmente el code si lo podes ver y decirme a simple vista si ves algo mal, desde ya muchisimas gracias tanto por la ayuda como por los videos.
report abuse
vote down
vote up
Votos: +0
Permisos de escritura?
escrito por Carlos , 07, octubre, 2009
Hola, este código no hace ninguna verificación, ni en cliente ni por el lado del servidor. Así que seguramente es una cuestión de los permisos de escritura de la carpeta uploads. Debe de poder ser escrita por el usuario Apache. Prueba con:
#chmod 777 uploads
Si usas SELinux (CentOS, RedHat, ...), deshabilítalo temporalmente o haz una regla específica si Apache se sale de su contexto de seguridad:
#setenforce 0
Puedes hacer lo mismo a través de su archivo de configuración, añade selinux=0, o con "system-config-securitylevel".
En el caso de que cambies las directivas no se te olvide #service httpd restart.
Saludos!
escrito por Carlos , 07, octubre, 2009
Hola, este código no hace ninguna verificación, ni en cliente ni por el lado del servidor. Así que seguramente es una cuestión de los permisos de escritura de la carpeta uploads. Debe de poder ser escrita por el usuario Apache. Prueba con:
#chmod 777 uploads
Si usas SELinux (CentOS, RedHat, ...), deshabilítalo temporalmente o haz una regla específica si Apache se sale de su contexto de seguridad:
#setenforce 0
Puedes hacer lo mismo a través de su archivo de configuración, añade selinux=0, o con "system-config-securitylevel".
En el caso de que cambies las directivas no se te olvide #service httpd restart.
Saludos!
report abuse
vote down
vote up
Votos: +0
Pregunta
escrito por eduardo , 22, junio, 2010
Hola
que complemento o plugins usas en el firefox?
escrito por eduardo , 22, junio, 2010
Hola
que complemento o plugins usas en el firefox?
report abuse
vote down
vote up
Votos: +0
...
escrito por Carlos Sánchez , 22, junio, 2010
LiveHTTPHeaders
https://addons.mozilla.org/firefox/3829/
FireBug
https://addons.mozilla.org/es-ES/firefox/addon/1843
User Agent Switcher
https://addons.mozilla.org/es-ES/firefox/addon/59
Hackbar
https://addons.mozilla.org/es-ES/firefox/addon/3899
Saludos.
escrito por Carlos Sánchez , 22, junio, 2010
LiveHTTPHeaders
https://addons.mozilla.org/firefox/3829/
FireBug
https://addons.mozilla.org/es-ES/firefox/addon/1843
User Agent Switcher
https://addons.mozilla.org/es-ES/firefox/addon/59
Hackbar
https://addons.mozilla.org/es-ES/firefox/addon/3899
Saludos.
report abuse
vote down
vote up
Votos: +0
Escribir comentario
