Bezroutchko è l’autore di un tutorial molto interessante sulla sicurezza degli upload via HTTP con PHP. Il documento, in formato pdf, spiega quanto sia delicata tale pratica, tra l’altro molto diffusa tra i siti Internet.
In particolare, l’autore inizia il documento illustrando porzioni di codice soggette a bug associando ad esse i relativi exploit.
Il problema comune, come illustra Bezroutchko, sta nel fatto che chi progetta e realizza tali applicazioni, solitamente dimentica di far effettuare verifiche sul contenuto del file o comunque non implementa sistemi di validazione adeguati; può accadere dunque che un utente malizioso piuttosto che uploadare un’immagine, possa caricare un file che contenga uno script del genere:
<?php
system($_GET['command']);
?>
che se interpretato dal demone php, si trasforma in una vera e propria shell script eseguibile via URL.
Lascio a voi la possibilità di scoprire altre insidie dell’upload leggendo questo documento e di esporre le vostre idee a riguardo.
