Halo, teman-teman mahasiswa! Selamat datang di praktikum super seru dan penting tentang File Upload Vulnerability β salah satu celah keamanan yang paling sering dieksploitasi hacker untuk ambil alih server! Bayangkan kamu punya fitur upload foto profil atau dokumen di website. Kalau nggak dijaga ketat, hacker bisa upload file jahat seperti web shell (script PHP nakal) yang bisa jalankan command di server: baca file rahasia (.env), hapus data, atau bahkan kontrol total server. Kayak kasih remote control ke orang asing!
Ini sering masuk OWASP Top 10 karena gampang banget dieksploitasi. Yuk kita bahas santai, dengan contoh sederhana di PHP/Laravel, kode mudah dicoba di localhost, dan ilustrasi keren biar langsung paham. Siap jadi hacker etis? π
Ilustrasi hacker lagi upload malicious file ini nunjukin bahayanya β dari form biasa jadi web shell!
Gambar Intigriti ini keren banget gambarin proses file upload vulnerabilities!
Apa Itu File Upload Vulnerability? π€
Ini terjadi saat aplikasi nggak validasi file upload dengan benar: tipe file, ukuran, nama, isi, atau lokasi penyimpanan. Hacker manfaatin buat upload executable file (PHP, JSP, dll) yang bisa dieksekusi server.
Diagram step-by-step ini jelasin alur serangan: upload β bypass β execute shell!
Visual lain yang detail banget nunjukin variasi exploit!
Contoh 1: Upload Web Shell Sederhana (Klasik!) π
Kode rentan (PHP sederhana):
if(isset($_FILES['file'])) {
$file = $_FILES['file'];
move_uploaded_file($file['tmp_name'], 'uploads/' . $file['name']); // Langsung simpan nama asli!
}
Hacker upload file shell.php dengan isi:
<?php system($_GET['cmd']); ?> // Jalankan command dari URL
Akses: uploads/shell.php?cmd=whoami β Dapat info server!
Contoh web shell upload β hacker eksekusi command seenaknya!
Contoh 2: Bypass Extension (Tricky!)
Validasi lemah: Cek hanya extension .jpg
if(pathinfo($filename, PATHINFO_EXTENSION) !== 'jpg') die('Invalid!');
Hacker upload shell.php.jpg atau shell.jpg.php (kalau Apache config salah).
Atau polyglot file: File valid image tapi isi PHP di awal (GIF89a; <?php ... ?>).
Contoh 3: Null Byte Injection (Old but Gold)
Di PHP lama: shell.php%00.jpg β %00 potong string, jadi simpan sebagai shell.php.
Contoh 4: Overwrite File Penting
Simpan dengan nama asli β Upload .htaccess atau overwrite config.
Cara Mencegah File Upload (Best Practices Keren!) π‘οΈβ¨
- Validasi Ketat MIME Type & Extension Whitelist
$request->validate([
'file' => 'required|mimes:jpg,png,pdf|max:2048' // Max 2MB
]);
- Rename File Unik
$filename = Str::uuid() . '.' . $file->getClientOriginalExtension();
Simpan di Private Storage, Bukan Public
Pakaistorage/app/private, serve lewat controller (cek auth).Verifikasi Isi File (Bukan Cuma Extension)
Pakai library seperti Intervention Image untuk cek benar image.
Infografis best practices ini lengkap: validation, unique name, private storage!
Checklist prevention ini dari expert β wajib diikuti!
Contoh secure upload flow β aman total!
Latihan Seru Buat Kamu! πͺπ₯
- Buat form upload rentan, upload shell.php, eksekusi command.
- Tambahin bypass extension, test polyglot.
- Perbaiki dengan validasi Laravel, rename, private storage.
- Coba di labs seperti PortSwigger File Upload.
Selamat praktikum, guys! File Upload Vulnerability ini pintu masuk favorit hacker buat RCE, tapi dengan validasi ketat & storage aman, website kamu jadi anti-bullet ππͺ Jadi developer yang secure minded dari sekarang! Ingat: Never trust uploaded files! Keep coding safely and have fun! ππ
Top comments (0)