PENGANTAR
Berbagai aplikasi web memungkinkan pengguna untuk mengunggah file (misalnya gambar, file musik, dll). File yang diunggah dapat menimbulkan risiko besar jika tidak ditangani dengan cara yang aman. Bergantung pada bagaimana file diproses dan di mana disimpan, dampak kerentanan unggahan file dapat bervariasi.
Jenis Kerentanan Upload File :
Ada dua jenis dasar kerentanan pengunggahan file.
1. Kerentanan Upload File Lokal: adalah kerentanan di mana aplikasi memungkinkan pengguna untuk mengupload file berbahaya secara langsung yang kemudian dieksekusi.
2. Kerentanan Upload File Jarak Jauh: adalah kerentanan saat aplikasi menggunakan input pengguna untuk mengambil file jarak jauh dari situs di Internet dan menyimpannya secara lokal. File ini kemudian dieksekusi oleh penyerang.
Dampak Kerentanan Pengunggahan File:
Penyerang bisa mendapatkan shell web dan menjalankan berbagai perintah, menelusuri file sistem dan menelusuri sumber daya lokal, dll.
Buat halaman phishing di situs web
Buat XSS permanen di situs web
File sensitif yang diunggah mungkin dapat diakses oleh orang yang tidak berwenang.
File yang diunggah mungkin memicu kerentanan di perpustakaan/aplikasi yang rusak di sisi klien.
File yang diunggah dapat memicu kerentanan di perpustakaan/aplikasi yang rusak di sisi server.
File yang diunggah dapat memicu kerentanan pada alat pemantauan waktu nyata yang rusak.
Cara Menghindari Kerentanan Pengunggahan File Jarak Jauh:
Hanya izinkan ekstensi file tertentu.
Hanya izinkan pengguna yang berwenang dan diautentikasi untuk menggunakan fitur ini.
Periksa file yang diambil dari Web untuk konten. Pastikan itu benar-benar gambar atau jenis file apa pun yang Anda harapkan.
Sajikan file yang diambil dari aplikasi Anda daripada langsung melalui server web.
Simpan file di direktori non-publik yang dapat diakses jika Anda bisa.
Tulis ke file saat Anda menyimpannya untuk menyertakan header yang membuatnya tidak dapat dieksekusi.
Komentar
Posting Komentar