Práctica pobres de desarrollo llevan casi siempre a prácticas pobres de seguridad. En este video muestro como inyectar un archivo en un servidor web a partir de una aplicación que permite subir archivos con un control FileUpload el cual no verifica que tipo de archivo está subiéndose.
¿Qué hay que hacer para proteger? Verificar que tipo de archivo se sube con contenttype y con la extensión del mismo.
-----------------------------------------------------------------
Poor development practices are almost always poor security practices. In this video I show how to inject a file on a web server from an application that uploads files with a FileUpload control. This control does not verify the upload stream's file type
How can you avoid these attacks? Verify the file's contenttype and extension.
No comments:
Post a Comment