RFU Bug

RFU Bugباگ rfu یا Remote File Upload چیه؟ خودمونی بگم زمانی این باگ پیش میاد که شما می خواهید چیزی اپلود کنید به سایت مورد نظرتون مثال: مثلا شما می خواهید عکس پروفایلتون رو عوض کنید خوب تا اینجا که مشکلی نیست.مشکل از جایی شروع میشه که برنامه نویس اون سایت هیچ فیلتری برای اپلود کردن نذاشته.یا اگر هم گذاشته باشه یه فیلتری ساده که میشه دورش زد.حالا بیاید ببینیم چه فیلتر هایی تو اپلود فایل می زارن 1_Blacklistتو این روش میان پسوند های غیر مجاز تعریف می کنن مثال سرور چک میکنه پسوند فایل اپلودی مارو و اگه پسوند فایل php بود اجازه اپلود نمی ده و میگه عکس اپلود کنید این یه مثال ساده روش بایپس:Backslash : test.php/Semicolon : shell.php;.jpgو غیره… زیاده تو اینترنت سرچ کنید2_while_listاین دقیقا برعکس روش بالاست تو این روش میان یه لیست از پسوند های مجاز تعریف می کنن3_Content-Typeتو این روش میان شناسه فایل رو نگاه می کننواسه فیتر چه کارا میشه کردعلاوه بر کاز های بالا این کار هارو هم انجام بدین 1 بعد از این که فایل اپلود شد اسم فایلو رو عوض کنید یه مثال ساده با پی اچ پی$filename = md5(uniqid()) . $fileExtension;2 مسیر اپلو فایل هارو عوض کنید سرورو تون رو هم ئرست کانفیگ کنیداز اجرایی نبودن فایل ها اطمینان حاصل کنیداین لینک هارو هم نگاه کنید واسه اطلاعات بیشتر https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload https://www.hacksplaining.com/exercises/file-upload#/start https://www.hacksplaining.com/prevention/file-upload

Author: admin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *