Pagina 1 di 1
L'upload di file è uno dei vettori d'attacco più sfruttati e più sottovalutati nelle applicazioni web. Validazioni solo lato client, check sul mime-type dichiarato, storage nella stessa document root dell'applicazione: ogni scorciatoia apre una porta a web shell, XSS via SVG, path traversal.
In questa categoria scrivo di upload sicuro di file in Laravel: validazione vera, storage fuori dalla document root, scan antivirus, protezione SVG, gestione dei nomi. Parliamone per un audit, scopri come lavoro.
In un assessment su un portale Symfony per la gestione documentale di un'azienda legale, ho trovato upload senza validazione del MIME reale: bastava rinominare un PHP in .pdf per caricarlo ed eseguirlo. Vi mostro la catena di validazione completa che uso in produzione, dal content-type all'isolamento dello storage. Continua a leggere
La PR #54331 di Laravel 12 (gennaio 2025) ha escluso gli SVG dalla regola image di default - un breaking change giustificato dal fatto che oltre 500 repository pubblici usavano image senza escludere SVG. Un file SVG è XML e può contenere tag script, event handler inline e foreignObject con HTML arbitrario. La validazione MIME non rileva questi payload. Continua a leggere
