دانلود پروژه اپلود و دانلود به صورت زیپ

[kiava]

دوستان یه پروژه ای تمرینی زدم و براتون به صورت رایگان میزارم استفاده کنید


نظری باگی چیزی پیدا کردید بدید برطرف کنم


لینک دانلود کلیک کنید


عکس :

[Flynic]

سلام

آسیب‌پذیری‌ها:

۱. SQL Injection

کد PHP:

$query=$conn->query("insert into upload(name)values('$name')"); 


PDO متد‌های خوبی برای escape کردن دارد. بهتر است از prepare و execute استفاده شود.

۲. Remote file inclusion
دانلود فایل از سرور:

کد:

http://domain/download.php?filename=../index.php

۳. عدم بررسی پسوند فایل آپلود
کافی هست یک شل آپلود شود.


هر سه مورد اولویت «خطرناک» تا «بسیار خطرناک» دارند. یعنی داشتن یکی از موارد بالا به تنهایی هم جدی هست.

[kiava]

سلام

آسیب‌پذیری‌ها:

۱. SQL Injection

کد PHP:

$query=$conn->query("insert into upload(name)values('$name')"); 


PDO متد‌های خوبی برای escape کردن دارد. بهتر است از prepare و execute استفاده شود.

۲. Remote file inclusion
دانلود فایل از سرور:

کد:

http://domain/download.php?filename=../index.php

۳. عدم بررسی پسوند فایل آپلود
کافی هست یک شل آپلود شود.


هر سه مورد اولویت «خطرناک» تا «بسیار خطرناک» دارند. یعنی داشتن یکی از موارد بالا به تنهایی هم جدی هست.

تشکر به زودی رفع میشه

[rayanagostar]

مطابق همون چیزی که دوستمون فرمودن به نظرم مهمترین بخش همون بررسی جنس فایل آپلود ی هست . در ضمن حتما از pdo استفاده کنید چون دستورات قدیمی sql در ورژن های جدید php از بین خواهد رفت

[kiava]

مطابق همون چیزی که دوستمون فرمودن به نظرم مهمترین بخش همون بررسی جنس فایل آپلود ی هست . در ضمن حتما از pdo استفاده کنید چون دستورات قدیمی sql در ورژن های جدید php از بین خواهد رفت

بله حتما به زودی این مواردشو اصلاح میکنم .