Атаки на загрузку файлов
Многие современные веб-приложения обладают функцией загрузки файлов, которая обычно необходима для их работы, например, для прикрепления документов или изменения изображения профиля пользователя. Однако, если функционал загрузки файлов реализован небезопасно, злоумышленники могут использовать его для загрузки произвольных файлов на сервер, что в конечном итоге может привести к его компрометации. Если атакующий может загружать произвольные файлы на сервер, он может загрузить вредоносные файлы, такие как веб-шеллы, которые позволят ему выполнять произвольные команды на сервере. Это, в свою очередь, даёт злоумышленнику полный контроль над сервером и всеми веб-приложениями, размещёнными на нём. Именно поэтому атаки на загрузку файлов являются одной из самых критических уязвимостей веб-приложений. (Практика в разработке)
Описание модуля:
Этот модуль рассмотрит основы выявления и эксплуатации уязвимостей, связанных с загрузкой файлов, а также методы обхода базовых механизмов защиты, позволяющих загружать произвольные файлы.
Кроме того, в модуле "Атаки на загрузку файлов" вы изучите:
✅ Что такое уязвимости загрузки файлов?
✅ Примеры кода, уязвимого к атакам через загрузку файлов
✅ Различные типы валидации загружаемых файлов
✅ Обнаружение и эксплуатация базовых уязвимостей загрузки файлов
✅ Обход проверки загружаемых файлов на стороне клиента
✅ Обход фильтрации по чёрному и белому списку расширений
✅ Обход проверки типа и содержимого файлов
✅ Обход других базовых ограничений безопасности
✅ Атаки на формы загрузки с ограниченными типами файлов
✅ Методы защиты от уязвимостей загрузки файлов с помощью безопасных техник валидации.