Dosya Yükleme Güvenlik Testi

Dosya Yükleme Güvenli mi?

PHP shell, ASP webshell ve çift uzantılı dosyaların yüklenip yüklenemeyeceği test edilir. Dosya tipi doğrulama ve eksekütabl koruma analiz edilir.

PHP Shell Yükleme

Çift Uzantı Bypass

MIME Type Sahteciliği

Null Byte Bypass

%43

Dosya yükleme açığı

PHP & ASP

Shell türleri

MIME & uzantı

Kontrol yöntemleri

Kritik

Risk seviyesi

Ne Tarıyoruz?

Dosya yükleme güvenliğini etkileyen tüm kritik vektörler sistematik olarak analiz edilir.

PHP Shell Yükleme

.php uzantılı webshell dosyasının yüklenebilirlik testi.

Çift Uzantı Bypass

file.php.jpg gibi çift uzantılı dosyaların gerçek tipi tespiti.

MIME Type Sahteciliği

Content-Type başlığı değiştirilerek kısıtlamayı atlatma testi.

Null Byte Bypass

file.php%00.jpg yöntemiyle uzantı doğrulama atlatma.

Magic Byte Kontrolü

Dosya başlığı (magic byte) ile içerik tipi tutarsızlık analizi.

Yükleme Dizini Koruma

Uploads dizininde PHP çalıştırmanın .htaccess ile engellenip engellenmediği.

SVG & XML Yükleme

SVG içine gömülü XSS ve XXE payload yükleme riski.

Dosya Boyutu & Quota

Büyük dosya yükleme ile disk dolumu (DoS) riski analizi.

Örnek Bulgular

Gerçek tarama sonuçlarından örnek güvenlik bulguları.

Risk

Endpoint

Payload / Bulgu

Açıklama

CRITICAL

/upload

shell.php

PHP shell yüklendi ve çalıştırıldı — tam sunucu erişimi.

CRITICAL

/upload

evil.php.jpg

Çift uzantılı shell kabul edildi — PHP kodu çalıştı.

HIGH

/upload

image/jpeg MIME ile .php

Content-Type kontrolü yapıldı ama uzantı kontrol edilmedi.

HIGH

/upload

malicious.svg

SVG XSS payload yüklendi — ziyaretçi tarayıcısında çalışabilir.

Pro Plan ile Görüntüle

MEDIUM

/uploads/

Dizin listeleme açık

Yüklenen tüm dosyalar URL ile erişilebilir.

Pro Plan ile Görüntüle

PASS

/upload

Tüm payload

Uzantı whitelist + magic byte + dizin PHP engeli — güvenli.

Pro Plan ile Görüntüle

Nasıl Çalışır?

Üç adımda kapsamlı dosya yükleme güvenlik analizi.

URL Girin

Site adresinizi girin, upload formlarını ve endpoint'lerini otomatik tespit edelim.

Test Başlatın

PHP shell, çift uzantı ve MIME bypass testleri tüm upload noktalarına uygulanır.

Raporu İnceleyin

Güvenlik açıkları risk seviyesine göre önceliklendirilmiş rapor sunulur.

Risk Seviyeleri

Bulgular dört farklı risk seviyesine göre sınıflandırılır.

CRITICALKritik

Anlık müdahale gerektiren, tam sistem ele geçirme riski taşıyan açıklar. PHP shell yükleme bu kategoridedir.

HIGHYüksek

Ciddi veri ihlali veya uygulama ele geçirme potansiyeli olan açıklar. SVG XSS ve MIME bypass bu kapsamdadır.

MEDIUMOrta

Sömürülmesi için ek koşul gerektiren veya sınırlı etkili açıklar. Dizin listeleme bu kategoridedir.

PASSGüvenli

Test edilen bileşen doğru yapılandırılmış, bilinen saldırı vektörlerine karşı korumalı.

Sıkça Sorulan Sorular

Dosya yükleme güvenliği hakkında merak edilenler.

Başarılı bir dosya yükleme saldırısında saldırgan sunucuya PHP shell yükler ve tam sistem erişimi elde eder. Web uygulamalarındaki en tehlikeli açıklardan biridir.

Hayır. Uzantı kolayca manipüle edilebilir. Uzantı + MIME type + magic byte (dosya imzası) kontrolü birlikte uygulanmalı ve uploads dizininde PHP çalıştırma engellenmelidir.

Yalnızca gerçekten ihtiyaç duyulan türlere (örn. jpg, png, pdf) whitelist ile izin verin. PHP, .phtml, .phar, .asp, .aspx gibi çalıştırılabilir uzantıları kesinlikle reddedin.

SVG, XML tabanlı bir format olup içine script etiketi gömülebilir. Yüklenen SVG doğrudan tarayıcıda açılırsa XSS gerçekleşir.

Uploads dizinine .htaccess ile PHP çalıştırmayı engelleyin, dosyaları web root dışına kaydedin ve rastgele isimle yeniden adlandırın.

Sitenizi Hemen Test Edin

Dosya yükleme açıklarını dakikalar içinde tespit edin.

Fiyatlandırma →İletişim →