Unsicherer Datei-Upload
Was ist Unsicherer Datei-Upload?
Unsicherer Datei-UploadWeb-Schwachstelle, bei der eine Anwendung vom Nutzer gelieferte Dateien ohne angemessene Validierung akzeptiert und Angreifern erlaubt, schädliche Dateien hochzuladen, was zu RCE, Defacement oder Datendiebstahl führt.
Unsicherer Datei-Upload tritt auf, wenn eine Webanwendung hochgeladene Dateien speichert, verarbeitet oder ausliefert, ohne Dateiname, MIME-Typ, Inhalt, Größe und Speicherort streng zu prüfen. Angreifer laden so Webshells (PHP/ASPX/JSP), polyglotte Dateien, schädliche Office-Dokumente oder überdimensionierte Payloads hoch. Wird die Datei in einem webzugänglichen Verzeichnis vom Server ausgeführt, ermöglicht sie Remote-Code-Ausführung, Persistenz oder einen Pivot ins interne Netz. Schutzmaßnahmen sind Allowlists für Erweiterungen und MIME-Typen, Prüfung der Magic Bytes, serverseitiges Umbenennen, Ablage außerhalb des Web-Roots, Malware-Scans und Auslieferung über eine separate Domain mit restriktiven Content-Type-Headern.
● Beispiele
- 01
Hochladen einer als JPEG getarnten `shell.php` über einen Profilbild-Endpunkt, der den tatsächlichen Inhalt nicht prüft.
- 02
Schädliche Makros in einem Word-Lebenslauf, der über ein HR-Portal angenommen wird.
● Häufige Fragen
Was ist Unsicherer Datei-Upload?
Web-Schwachstelle, bei der eine Anwendung vom Nutzer gelieferte Dateien ohne angemessene Validierung akzeptiert und Angreifern erlaubt, schädliche Dateien hochzuladen, was zu RCE, Defacement oder Datendiebstahl führt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Unsicherer Datei-Upload?
Web-Schwachstelle, bei der eine Anwendung vom Nutzer gelieferte Dateien ohne angemessene Validierung akzeptiert und Angreifern erlaubt, schädliche Dateien hochzuladen, was zu RCE, Defacement oder Datendiebstahl führt.
Wie schützt man sich gegen Unsicherer Datei-Upload?
Schutzmaßnahmen gegen Unsicherer Datei-Upload kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.