Generell gilt in der Sicherheitsprogrammierung immer der Grundsatz: Jede Eingabe ist bse. Prinzipiell darf man nie einer Benutzereingabe vertrauen. Dies muss vor jeder Verarbeitung geprft werden. Dies gilt besonders fr Dateien, die an den Server bermittelt werden.

Mit Hilfe einer selbsterstellten Datei, welche man auf einen Server laden kann, hat man wesentlich mehr Mglichkeiten einen Server anzugreifen als ber eine Parametermanipulation. Aus diesem Grund muss jede Datei vor der Speicherung und Integration in das laufende System genau geprft werden. Genau das ist das Hauptproblem. Wie kann ein Programm ein Word-Dokument von einer Grafik unterschieden? Hierfr bentigt man schon sehr gute Informatik-Kenntnisse. Auch wenn einem dies gelingen sollte (es gibt hierfr einige Tricks um diese Typen zu unterscheiden) gibt es noch immer die Grafik von Manipulationen!

In vielen Foren (darunter auch einige ltere Versionen des wbbs) gab es Schwachstellen beim Avatarupload. Das Programm prft zwar, ob es sich um eine Grafik handelt, kontrolliert aber nicht, ob diese Grafik auch gltig ist! Durch eine Schwachstelle konnte man XSS-Angriffe ber Avatare durchfhren, welche auf den Server geladen wurde. Der InternetExplorer Benutzer sah bei der Grafik des Useravatars nur ein rotes x. Der User wusste hingen nicht, dass gerade sein Cookie ber einen XSS-Angriff gestohlen wurde!