Vulnerabilità upload

**centro** · 23-07-2012, 14:37

Ciao a tutti,
ho trovato questa vulnerabilità...

http://www.acunetix.com/websitesecur...rms-threat.htm

per essere sicuro che no non ci sia... su qualche vecchio sito..o applicazione fatta...
volevo adottare la soluzione del htaccess

quindi mi ritrovo.. sul server

/upload/images/213/pippo.jpg
/upload/images/5512/bubu.jpg
oppure
/upload/pdf/5512/babbo.pdf

nell'articolo propongono un htaccess

deny from all
<Files ~ "^\w+\.(gif|jpe?g|png)$">
order deny,allow
allow from all
</Files>

ma io come faccio a creare un .htaccess per i miei gusti

oppure consigliate quaòlche altra soluzione?

grazie Giuseppe

**Habanero** · 23-07-2012, 18:13

che significa per i tuoi gusti?
Basta modificare l'htaccess in questione per accettare solo i file con le estensioni ammesse.
Il caso in esame accetta solo .gif, .jpeg, .jpg, .png
Il controllo comunque basterebbe farlo da php... in tal caso sarebbe sufficiente usare un codice di upload sicuro e ben progettato per accettare solo un limitato range di estensioni.
In ogni caso la prassi è quella di usare delle white list ed evitare le black list.

**centro** · 24-07-2012, 09:44

volevo dire per le mie necessità...
e non per i miei gusti

volevo sapere come adattare un modificare l'htaccess che ho postato, secondo l'albero di cartelle presenti sul server che mostro.
o per lo meno se c'è un tutorial su come costruire un htaccess appropriato.

Cmq dall'alrticolo che ho postato, avevo capito.. (ma forse il mio inglese mi tradisce)
che non bastava fare un controllo sulle estensioni

mi sbaglio quindi?

grazie
giuseppe

**Habanero** · 27-07-2012, 14:55

Il controllo dell'estensione è sufficiente... però bisogna farlo bene.

Discussione: Vulnerabilità upload

Strumenti discussione

Ricerca discussione

Visualizza

Vulnerabilità upload

Permessi di invio