Ominięcie zabezpieczenia

Ominięcie zabezpieczenia

karis Zobacz profil	3.04.2009, 16:22:04 Post #1
Grupa: Zarejestrowani Postów: 217 Pomógł: 2 Dołączył: 23.12.2008 Ostrzeżenie: (0%)	Czy mogą inni jeśli tak to w jaki sposób obejść moje zabezpieczenia dotyczące uploadu plików? Sprawdzam za pomocą ereg() czy w nazwie występuje np: php, php3, php4, php5.... Czy mogą oni w jakiś sposób wgrać plik php?

Odpowiedzi

karis Zobacz profil	4.04.2009, 09:04:16 Post #2
Grupa: Zarejestrowani Postów: 217 Pomógł: 2 Dołączył: 23.12.2008 Ostrzeżenie: (0%)	A jak może zostać wykonany, chcę to wiedzieć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

.radex Zobacz profil	4.04.2009, 09:16:42 Post #3
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Cytat(karis @ 4.04.2009, 10:04:16 ) A jak może zostać wykonany, chcę to wiedzieć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Nie może (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) No chyba, że napiszesz moduł do Apache'a, który w czasie rzeczywistym wypakowuje plik zip i odpala zawarty w nim .php (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Ten post edytował .radex 4.04.2009, 09:17:31

Fifi209 Zobacz profil	5.04.2009, 09:48:17 Post #4
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(.radex @ 4.04.2009, 10:16:42 ) Nie może (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) No chyba, że napiszesz moduł do Apache'a, który w czasie rzeczywistym wypakowuje plik zip i odpala zawarty w nim .php (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) A nie lepiej po prostu skorzystać z gotowych bibliotek i rozpakować plik i możesz go potem uruchomić np. eval()" title="Zobacz w manualu PHP" target="_manual

Posty w temacie

karis Ominięcie zabezpieczenia 3.04.2009, 16:22:04

.radex mogą. Wystarczy, że rozszerzenie będzie inne. Ale ... 3.04.2009, 16:28:05

Spawnm po co tak? sprawdzaj czy typ mime jest taki jaki d... 3.04.2009, 16:29:01

karis Dobra ale w jaki sposób to zrobią. Przecież jak zm... 3.04.2009, 16:48:55

Crozin Wsz7ystko zależy od konfiguracji serwera. Miałem j... 3.04.2009, 17:12:38

karis w jaki sposób można sfałszować mime? 3.04.2009, 17:17:27

.radex Cytat(karis @ 3.04.2009, 18:17:27 ) w... 3.04.2009, 17:27:27

pyro Cytat(.radex @ 3.04.2009, 18:27:27 ) ... 3.04.2009, 17:31:03

Kocurro Widziałem jakiś czas temu funkcję, moduł, klasę (c... 3.04.2009, 17:34:33

fifi209 Jak na moje oko to możesz wgrać plik na serwer, sp... 3.04.2009, 20:51:19

tanwel_programmer Moim skromnym zdaniem zapominając o mime istnieje ... 3.04.2009, 21:00:23

karis Cytat(fifi209 @ 3.04.2009, 21:51:19 )... 3.04.2009, 21:40:49

fifi209 Cytat(karis @ 3.04.2009, 22:40:49 ) N... 4.04.2009, 08:14:19

mlattari ale najprościej, jeżeli to grafika, będzie chyba u... 4.04.2009, 02:41:44

karis A jak może zostać wykonany, chcę to wiedzieć 4.04.2009, 09:04:16

.radex Cytat(karis @ 4.04.2009, 10:04:16 ) A... 4.04.2009, 09:16:42

fifi209 Cytat(.radex @ 4.04.2009, 10:16:42 ) ... 5.04.2009, 09:48:17

Babcia@Stefa Cytat(.radex @ 4.04.2009, 08:16:42 ) ... 5.04.2009, 10:22:18

kiamil A rozszerzenia .phtml .shtml .asp .aspx .json .js ... 4.04.2009, 17:43:36

Spawnm zamiast sprawdzać czy w nazwie czasem nie pojawiło... 4.04.2009, 18:27:44

Crozin @Spawnm: do pobierania rozszerzenia pliku służy pa... 4.04.2009, 20:39:04

megawebmaster Dokładnie. A do obrazków można użyć exif_imagetype... 4.04.2009, 21:54:05

bełdzio co do spr rozszerzenia to NULL byte moze troszke n... 4.04.2009, 22:24:19

erix Cytatz nazwy nadesłanej grafiki/aplikacji odcinaj ... 6.04.2009, 16:26:42

Kocurro Nie wiem czy ktoś wstawiał już, jak nie to zaprasz... 9.04.2009, 19:00:33

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 3.10.2025 - 02:09

Hosting zapewnia

Forum PHP.pl