من در حال تهیه سیستمی برای ذخیره سوابق پزشکی هستم. یک شخص می تواند تصویر (ها) یا پرونده (ها) را بارگذاری کند. از آنجا که این یک پرونده پزشکی است ، باید به صورت رمزگذاری شده ذخیره شود. همچنین می خواهم که پرونده ها یا تصاویر فقط توسط کاربر مجاز مشاهده شوند. لطفاً می توانید…
برنامه وب – نحوه اعتبارسنجی محتوای پرونده در php
ما یک برنامه کاربردی را توسعه داده ایم که شامل پرونده بارگذاری فایل است. ما از آن برنامه فقط برای اهداف داخلی استفاده می کنیم. ما از زبان اصلی php استفاده می کنیم. ما قبلاً اعتبار را زیر آن قرار داده ایم. 1) بررسیهای فرمت پرونده (فقط اجازه CSV ، txt ، SQL) 2) بررسی…
برنامه وب – من قادر به دور زدن کنترل افزودنی هستم اما هنوز قادر به اجرای کد PHP نیستم
در حالی که این مطمئناً آسیب پذیری امنیتی است ، من این را به عنوان "بدترین کاری که هر توسعه دهندگان می تواند انجام دهد" ارزیابی نمی کنم. فقط به این دلیل که می توانید یک فایل PHP را بر روی یک سرور دریافت کنید ، به معنای اجرای فایل PHP نیست – این سرور…
بارگذاری پرونده – آیا می توان XSS را از طریق بارگذاری تصویر از طریق نام پرونده دریافت کرد؟
آیا سایتی وجود دارد که به این روش آسیب پذیر باشد؟ مطمئناً اگر سرور نام پرونده مورد نظر کاربر را بگیرد و سعی کند آن را بدون اشکال در سند منتشر کند ، XSS را دریافت خواهید کرد. [مانند سایر داده های تهیه شده توسط کاربر.] آیا سایت خاصی که در حال مشاهده آن هستید…
آیا ذخیره سازی پرونده ها در زیر سرور وب غیرمستقیم است اگر توسط PHP اداره شود و توسط فایل پیکربندی سایت وب سرور مسدود شود؟
بگو وب سایتی دارید که بارگذاری پرونده ها از نوع خاصی را انجام می دهد و آنها را در یک زیرشاخه قرار می دهد (بگذارید آن را "فیلم" بنامیم) در ریشه وب. من از منابع مختلف شنیده ام که اعتماد به پرونده های آپلود شده هرگز نیست. ایمن است ، زیرا یک بار payload بارگیری…