• Quando l'upload HTTP si trasforma in exploit

    Bezroutchko è l’autore di un tutorial molto interessante sulla sicurezza degli upload via HTTP con PHP. Il documento, in formato pdf, spiega quanto sia delicata tale pratica, tra l’altro molto diffusa tra i siti Internet.

    In particolare, l’autore inizia il documento illustrando porzioni di codice soggette a bug associando ad esse i relativi exploit.

    Il problema comune, come illustra Bezroutchko, sta nel fatto che chi progetta e realizza tali applicazioni, solitamente dimentica di far effettuare verifiche sul contenuto del file o comunque non implementa sistemi di validazione adeguati; può accadere dunque che un utente malizioso piuttosto che uploadare un’immagine, possa caricare un file che contenga uno script del genere:

    <?php
    system($_GET['command']);
    ?>

    che se interpretato dal demone php, si trasforma in una vera e propria shell script eseguibile via URL.

    Lascio a voi la possibilità di scoprire altre insidie dell’upload leggendo questo documento e di esporre le vostre idee a riguardo.

    Se vuoi aggiornamenti su Quando l'upload HTTP si trasforma in exploit inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *