
22/03/2009, 04:21
|
 | | | Fecha de Ingreso: diciembre-2008
Mensajes: 351
Antigüedad: 16 años, 2 meses Puntos: 4 | |
Respuesta: Me pueden subir archvos desde otro upload a mi web Cita:
Iniciado por Solid En esta situación el tipo de archivo es lo de menos, el asunto más grave es que estén subiendo archivos a tu servidor desde otro.
Eso es muy sencillo, si vos tenés un form con un file y lo recibís en un archivo PHP y no realizás ningún tipo de chequeo de seguridad, entonces subir archivos a tu servidor desde cualquier lado no requiere de nada más que saber la URL a donde mandar el POST de otro formulario.
Me explico:
si yo veo que tu form postea a sarasa.php, entonces para hacer una prueba sencilla solo basta hacer un script cualquiera con algo así...
<form action="http://www.dominio.com/sarasa.php" method="post">
y listo, pensá que los forms pueden ser cross-server, asique envía el post desde un servidor al otro, y si en tu server no hay ningún tipo de chequeo de cual es el origen del post, entonces lo va a procesar como si se hubiera generado de forma local, en el propio servidor Hola Solid. Me puedes decir como prevenir esto entonces? Es que ya me ha pasado y no quiero que vuelva a pasarme. Ma han subido archivos php a mi servidor aunque yo validaba lo que me subian que es imposible subir archivos php. |