Unetway

Тестирование безопасности - Вредоносные файлы

Разработчики часто напрямую используют или связывают потенциально уязвимые данные с файлом или предполагают, что входные файлы являются подлинными. Если данные не проверены должным образом, это может привести к тому, что веб-сервер будет обрабатывать или вызывать уязвимое содержимое.

Некоторые из классических примеров включают в себя:

  • Загрузите файл .jsp в веб-дерево.
  • Загрузить .gif для изменения размера.
  • Загрузите огромные файлы.
  • Загрузите файл, содержащий теги.
  • Загрузите файл .exe в веб-дерево.

Профилактические механизмы

  • Защищенные веб-сайты с использованием разрешений веб-сайта.
  • Принять контрмеры для обеспечения безопасности веб-приложений.
  • Понимание встроенных учетных записей пользователей и групп в IIS 7.0.