DevSecOps Talks@devsecops_weekly P.1302

DEVSECOPS_WEEKLY Telegram 1302

DevSecOps Talks

Multipart Parsers: примеры обхода

Всем привет!

Парсеры multipart/form-data не всегда работают корректно и есть разные способы для того, чтобы их обойти.

В статье (~ 27 минут) разбираются некоторые примеры того, как именно это можно сделать.

Начинается статья с того, что Автор описывает стандартные способы проверки (расширение файла, magic bytes, content-type и т.д.) и что такое multipart\form-data.

Дальше – сами техники обхода:
🍭 duplicated name parameter
🍭 breaking the CRLF seuqences
🍭 removing double quotes
🍭 missing closing boundary string
🍭 filename*=utf-8'' in request

Помимо этого, в статье есть информация о том, как можно обходить разные WAF. Каждый пример, приведенный в статье подробно описан, с кодом и пояснениями.

Проверка передаваемых параметров – задача крайне важная и статья может помочь в том, чтобы понять на что обращать внимание и как сделать этот процесс более безопасным.

Sicuranext Blog

Breaking Down Multipart Parsers: File upload validation bypass

TL;DR: Basically, all multipart/form-data parsers fail to fully comply with the RFC, and when it comes to validating filenames or content uploaded by users, there are always numerous ways to bypass validation. We'll test various bypass techniques against…

❤2

www.tgoop.com/devsecops_weekly/1302

2.13K viewsSep 1 at 04:20

tgoop.com/devsecops_weekly/1302

Create: 2025-09-01
Last Update: 2025-10-21 20:33:35

Multipart Parsers: примеры обхода

Всем привет!

Парсеры multipart/form-data не всегда работают корректно и есть разные способы для того, чтобы их обойти.

В статье (~ 27 минут) разбираются некоторые примеры того, как именно это можно сделать.

Начинается статья с того, что Автор описывает стандартные способы проверки (расширение файла, magic bytes, content-type и т.д.) и что такое multipart\form-data.

Дальше – сами техники обхода:
🍭 duplicated name parameter
🍭 breaking the CRLF seuqences
🍭 removing double quotes
🍭 missing closing boundary string
🍭 filename*=utf-8'' in request

Помимо этого, в статье есть информация о том, как можно обходить разные WAF. Каждый пример, приведенный в статье подробно описан, с кодом и пояснениями.

Проверка передаваемых параметров – задача крайне важная и статья может помочь в том, чтобы понять на что обращать внимание и как сделать этот процесс более безопасным.

BY DevSecOps Talks

Share with your friend now:
tgoop.com/devsecops_weekly/1302

Open in Telegram

Telegram News

Date: 2025-10-21|

According to media reports, the privacy watchdog was considering “blacklisting” some online platforms that have repeatedly posted doxxing information, with sources saying most messages were shared on Telegram. Ng was convicted in April for conspiracy to incite a riot, public nuisance, arson, criminal damage, manufacturing of explosives, administering poison and wounding with intent to do grievous bodily harm between October 2019 and June 2020. It’s yet another bloodbath on Satoshi Street. As of press time, Bitcoin (BTC) and the broader cryptocurrency market have corrected another 10 percent amid a massive sell-off. Ethereum (EHT) is down a staggering 15 percent moving close to $1,000, down more than 42 percent on the weekly chart. Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” SUCK Channel Telegram
from us

Telegram DevSecOps Talks
FROM American