Lỗ hổng upload tập tin cũng có thể được dùng để triển khai những loại tấn công khác.
Cụ thể, nếu chúng ta không thể thực thi script ở trên server thì ta vẫn có thể upload script để thực hiện các client-side attack. Ví dụ, nếu chúng ta có thể upload các tập tin HTML hoặc hình ảnh SVG thì ta có thể sử dụng thẻ <script> để chứa các stored XSS payload.
Note
Do các ràng buộc của SOP, các attack như trên chỉ có thể khả thi nếu tập tin tải lên được phục vụ trong chính origin mà ta đã upload tập tin.
Nếu tập tin tải lên được lưu trữ và phục vụ một cách an toàn thì ta có thể khai thác các lỗ hổng trong việc phân tách hoặc xử lý các định dạng tập tin khác nhau. Ví dụ, nếu server có phân tách tập tin dạng XML chẳng hạn như .doc hoặc .xls thì ta có thể thực hiện XXE injection attack.
Related
list
from outgoing([[Port Swigger - Exploiting File Upload Vulnerabilities without Remote Code Execution]])
sort file.ctime asc