Ver Mensaje Individual
  #16 (permalink)  
Antiguo 22/03/2009, 04:21
Avatar de miros84
miros84
 
Fecha de Ingreso: diciembre-2008
Mensajes: 351
Antigüedad: 16 años, 2 meses
Puntos: 4
Respuesta: Me pueden subir archvos desde otro upload a mi web

Cita:
Iniciado por Solid Ver Mensaje
En esta situación el tipo de archivo es lo de menos, el asunto más grave es que estén subiendo archivos a tu servidor desde otro.

Eso es muy sencillo, si vos tenés un form con un file y lo recibís en un archivo PHP y no realizás ningún tipo de chequeo de seguridad, entonces subir archivos a tu servidor desde cualquier lado no requiere de nada más que saber la URL a donde mandar el POST de otro formulario.

Me explico:

si yo veo que tu form postea a sarasa.php, entonces para hacer una prueba sencilla solo basta hacer un script cualquiera con algo así...

<form action="http://www.dominio.com/sarasa.php" method="post">

y listo, pensá que los forms pueden ser cross-server, asique envía el post desde un servidor al otro, y si en tu server no hay ningún tipo de chequeo de cual es el origen del post, entonces lo va a procesar como si se hubiera generado de forma local, en el propio servidor
Hola Solid. Me puedes decir como prevenir esto entonces? Es que ya me ha pasado y no quiero que vuelva a pasarme. Ma han subido archivos php a mi servidor aunque yo validaba lo que me subian que es imposible subir archivos php.