Ver Mensaje Individual
  #11 (permalink)  
Antiguo 17/12/2011, 16:25
Avatar de jorgelpadronb
jorgelpadronb
 
Fecha de Ingreso: agosto-2011
Ubicación: Cuba
Mensajes: 281
Antigüedad: 13 años, 4 meses
Puntos: 37
Respuesta: Ataques LFI con imágenes

Cita:
Iniciado por HackmanC Ver Mensaje
Hola,



Realmente si es posible, es un método muy común y siempre hay que tomar las medidas necesarias en cualquier tipo de archivo subido, ya sea este una imagen o cualquier otra cosa. El procedimiento es mucho mas simple de lo que explicas y no es necesario que el programador que hizo el sitio haya puesto de su parte para que suceda esto.

Existen por lo menos dos aplicaciones muy populares que sufrieron de este exploit, por suerte actualmente ya están corregidas. Ahora bien, por supuesto que pierden su funcionalidad, es decir, la imagen JPG deja de ser una imagen, pero eso pasa a segundo plano porque el objetivo no es demostrar nada, simplemente correr un script en tu servidor.

Saludos,
Saludos amigo. Muchas gracias por tu aporte. Se nota que dominas el tema. Tal vez las imágenes sí se alteran, pero no se de que forma, según el autor del tema, esto resulta totalmente invisible para la comprobación de tipo mime que se hace al subir el archivo. O sea que se sigue interpretando como una imagen válida, aunque probablemente al visualizarla ya no se vea ni remotamente parecida a lo que era antes de ser modificada.

Reitero la referencia del artículo:

http://www.govannom.org/seguridad/1-...inclusion.html

Saludos.
__________________
Los hombres pequeños, nunca se sienten pequeños; los hombres grandes, nunca se sienten grandes.

No sé quien fué el que dijo eso, pero está bueno.