Stworzenie bezpiecznego uploadu.

Stworzenie bezpiecznego uploadu.

koxfx Zobacz profil	10.11.2015, 18:34:42 Post #1
Grupa: Zarejestrowani Postów: 47 Pomógł: 0 Dołączył: 18.04.2015 Ostrzeżenie: (0%)	Można weryfikować rozszerzenia, mime_types, sprawdzić czy plik jest obrazkiem. Wszystko to da się obejść. Czy dodanie tego do .htaccess załatwi sprawe: [PHP] pobierz, plaintext ForceType application/octet-stream <FilesMatch "(?i).jpe?g$"> ForceType image/jpeg </FilesMatch> <FilesMatch "(?i).gif$"> ForceType image/gif </FilesMatch> <FilesMatch "(?i).png$"> ForceType image/png </FilesMatch> [PHP] pobierz, plaintext Jest jakieś lepsze rozwiązanie?

Odpowiedzi

koxfx Zobacz profil	10.11.2015, 19:11:14 Post #2
Grupa: Zarejestrowani Postów: 47 Pomógł: 0 Dołączył: 18.04.2015 Ostrzeżenie: (0%)	Zastanawia mnie czy archiwa niosą jakies zagrożenia.(.rar,.zip,.7zip) Dozwolone będą nie tylko pliki graficzne. Trzeba prawdopodobnie pozbawić pliki możliwości wykonywania. Czy zaszyfrowanie pliku podczas uploadu i odszyfrowanie podczas ściągania może być zebezpieczeniem?

redeemer Zobacz profil	11.11.2015, 10:50:16 Post #3
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)	Cytat(koxfx @ 10.11.2015, 19:11:14 ) Zastanawia mnie czy archiwa niosą jakies zagrożenia.(.rar,.zip,.7zip) W pewnych sytuacjach tak. Na początek warto zapoznać się z tzw. "Zip bomb" i 42.zip czyli zipe, który zajmuje 42 kilobajty, a rozpakowuje się do 4.5 PETAbajtów :-) Dodatkowo do zipa oprócz zwykłych plików i katalogów możesz dodać linki symboliczne, które po rozpakowaniu na serwerze, w pewnych sytuacjach mogą zaburzać logikę aplikacji, albo udostępniać informacje. Przykład: Jest panel, gdzie użytkownik uploaduje zipa, który jest rozpakowany na serwerze za pomocą system("unzip $plik -d $katalog"). Może sobie także na stronie przeglądać spakowane pliki, ale tylko .jpg. W takich okolicznościach atakujący może wrzucić do zipa link symboliczny z nazwą test.jpg, kierujący do jakiegoś pliku php (albo chociażby /etc/passwd) aby zobaczyć jego zawartość. W przeglądarce będzie to wyglądać jak "zepsuty obrazek" bo obrazkiem oczywiście nie będzie, tylko źródłem pliku do którego linkowaliśmy. Jak zrobić takiego zipa na linuxie: Kod mkdir evilzip cd evilzip/ ln -s /etc/passwd evil.jpg ln -s ../albo/jakis/plik.php evil2.jpg zip --symlinks -r ../evil.zip Edit: No i polecam też obejrzeć sobie prezentację Gynvaela "Dziesięć tysięcy pułapek: ZIP, RAR, etc." z SEConference 2013 Ten post edytował redeemer 11.11.2015, 10:52:40

Posty w temacie

koxfx Stworzenie bezpiecznego uploadu. 10.11.2015, 18:34:42

redeemer Jak tylko obrazki to getimagesize. 10.11.2015, 18:58:51

koxfx Zastanawia mnie czy archiwa niosą jakies zagrożeni... 10.11.2015, 19:11:14

redeemer Cytat(koxfx @ 10.11.2015, 19:11:14 ) ... 11.11.2015, 10:50:16

Pyton_000 Pytanie podstawowe co biędziesz z tymi plikami rob... 10.11.2015, 19:41:42

koxfx Pliki będą wrzucone na serwer.(upload dostępny dla... 10.11.2015, 20:25:42

Tomplus możesz zapisywać na serwerze pliki bez rozszerzeń,... 10.11.2015, 22:25:45

Pyton_000 Wydaje mi się (jeśli tylko się wydaje to mnie popr... 11.11.2015, 09:06:30

Comandeer Cytat(Pyton_000 @ 11.11.2015, 09:06:3... 11.11.2015, 13:11:28

viking Chyba wszystkie wysłane do przeglądarki pliki jako... 11.11.2015, 09:13:16

koxfx Według mnie jest jeszcze jeden sposób. Można pobra... 11.11.2015, 17:47:48

!*! Zacznijmy od tego że plików graficznych się nie wg... 11.11.2015, 18:38:53

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 10.10.2025 - 12:08

Hosting zapewnia

Forum PHP.pl