Het is al weer even geleden dat we wat van ons hebben laten horen. Na onze blogpost over XSS (welke is overgenomen op WebWereld) hebben wij een flink aantal positieve reacties ontvangen. Bedankt daarvoor!
Op een van de fora kwam ik een linkje tegen naar File Thingie, een systeem waarmee je online je bestanden kunt beheren. Erg handig, en redelijk veilig. In het verleden is dat anders geweest. Omdat ik toch wel erg nieuwschierig was, ben ik er even mee wezen stoeien. En wat bleek, het lukte mij om een PHP Shell te uploaden! Ik uploadde een bestand met een extensie die in de whitelist stond (.txt). PHP stond in de blacklist. Na wat spelen, kwam ik erachter dat als je een HTML NULL-byte als extensie doet, en daarna een whitelist extensie, het systeem geheel de kluts kwijt is!
Ip-Adressen en de naam van de website zijn weggehaald 
Exploit zoals deze zal worden geplaatst op andere websites:
file_thingie_256_exploit.txt