File Upload XSS

صفحه ای که دارای این خطا می باشد به کاربران اجازه می دهد که در کنار آپلود فایل، اسکریپت HTML نیز آپلود گردد. هکر امکان تزریق Javascript, VBScript, ActiveX, HTML و یا Flash رادر ورودی دارد که در نهایت قادر است session cookie کاربر را دزدیده و بر حساب کاربری او تا زمان استفاده از حساب، جعل هویت نماید.
پیشنهاد می گردد که پسوند فایلها (extensions) را محدود کرده و از آپلود پسوندهای دوتایی .php.png  و یا فایلهای بدون نام همانند .htaccess پرهیز نمایید. مجوز اجرا (executable) را در دایرکتوری که در آن فایلها آپلود می گردند غیر فعال نمایید.

منبع 1: OWASP Unrestricted File Upload

منبع 2: Testing for Stored Cross site scripting (OWASP-DV-002)