File Upload Bypass

Les vulnérabilités d'upload de fichiers comptent parmi les failles de sécurité d'applications web les plus critiques car une exploitation réussie mène souvent directement à l'exécution de code à distance sur le serveur. Lorsque les applications web permettent aux utilisateurs d'uploader des fichiers - comme des avatars de profil, des documents ou des images - le mécanisme d'upload doit être soigneusement sécurisé pour empêcher les attaquants d'uploader des fichiers malveillants. Un tutoriel sur le contournement d'upload de fichiers enseigne comment les attaquants contournent ces protections et pourquoi la défense en profondeur est essentielle.

Comment fonctionnent les restrictions d'upload de fichiers

Les applications web implémentent généralement plusieurs couches de validation d'upload de fichiers. La validation côté client utilise JavaScript pour vérifier les extensions de fichier ou les types MIME avant la soumission. La vérification d'extension côté serveur vérifie que le nom du fichier se termine par une extension autorisée comme .jpg ou .png. La validation du Content-type examine le type MIME envoyé dans la requête HTTP. La vérification des magic bytes lit les octets d'en-tête du fichier pour confirmer son format réel. Chaque couche ajoute de la sécurité, mais chacune peut potentiellement être contournée si elle est mal implémentée.

Techniques courantes de contournement d'upload de fichiers

Les attaquants utilisent diverses techniques pour contourner les restrictions d'upload. Les doubles extensions (shell.php.jpg) exploitent les serveurs qui ne vérifient que l'extension finale. L'injection de byte nul (shell.php%00.jpg) termine le nom de fichier au byte nul sur les systèmes vulnérables. L'usurpation de type MIME change l'en-tête Content-Type en image/jpeg tout en uploadant du code PHP. L'ajout de magic bytes (comme GIF89a) au début d'un fichier malveillant trompe la détection de type de contenu. Les extensions PHP alternatives (.php5, .phtml, .phar) contournent les listes de blocage d'extensions. La manipulation de casse (.PhP) échappe aux filtres sensibles à la casse.

Déploiement de web shell et impact

Une fois qu'un attaquant a réussi à uploader un fichier malveillant - généralement un web shell écrit en PHP, ASP ou JSP - il peut exécuter des commandes arbitraires sur le serveur. Les web shells fournissent une interface basée sur le navigateur pour la navigation de fichiers, l'exécution de commandes, l'accès aux bases de données et le mouvement latéral au sein du réseau. L'impact va du vol de données et de la défiguration de sites web à la compromission complète du serveur. Prévenir les uploads de fichiers malveillants nécessite de combiner les listes d'autorisation d'extensions, la vérification du contenu, l'upload vers des répertoires non exécutables et le renommage des fichiers uploadés.