secinfosec
Добрый вечер и с новым счастьем) Кто может пожалуйста поделиться советом: –
Хочу на сайте сделать возможность заливки аватара пользователя в его личном профиле, как это выглядит:
– Пользователь открывает сайт в браузере
– Заливает свою аватарку в профиле на сайте
– На бек улетает POST запрос с фронта типа Content-Type: multipart/form-data;
- Бек тянет картинку и перекладывает в s3
Вопрос следующий:
Присутствует ли в данной операции вектор атаки, когда злоумышленник попытается залить на сервер картинку и попытаться эксплуатировать какую-либо уязвимость?
Как это делать безопасно?
– лить картинку сначала на vt по API
– если vt отдает ок, уже лить на сервер?
– может ли вообще здесь в теории быть уязвимость?
Буду признателен рекомендациям) Спасибо
1 ответов
https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html
Похожие вопросы
Обсуждают сегодня