На веб-сайте бельгийской компании Scanit, занимающейся исследованиями в области компьютерной безопасности, была опубликована статья под названием "Secure File Upload In PHP Web Applications". В статье подробным образом, с примерами, описывается технология внедрения в изображение PHP кода, который позже может быть выполнен на веб-сервере. Данная технология может быть применена с целью использования уязвимостей, которым зачастую подвержены веб-сайты, позволяющие пользователям загружать собственные изображения на веб-сервер для публичного доступа. Причиной таких уязвимостей является недостаточная проверка загружаемых пользователями файлов и ошибки в конфигурации веб-сервера. В статье кроме методов нападения рассматриваются методы анализа загружаемых изображений с целью выявления вредоносных внедрений такого типа.
Статья (eng)
Примеры