 [PHP]Zawirusowane zdjęcia |
| [PHP]Zawirusowane zdjęcia |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 18.11.2009 Ostrzeżenie: (0%) 
 |
Ostatnio zapytano mnie co zrobić w wypadku, gdy użytkownik będzie próbował uploadować zawirusowane zdjęcie na serwer (poprzez funkcję move_uploaded_file() lub copy() ). Szczerze mówiąc nigdy wcześniej nie przyszła mi taka ewentualność do głowy.
Czy rzeczywiście jest to realne zagrożenie? A jeśli tak jakie są możliwości zabezpieczenie strony/serwera przed taką sytuacją? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
~MWL, papier to nie wyznacznik. (IMG:style_emoticons/default/tongue.gif)
A wracając do tematu - kiedyś robiłem ciut głębsze badanie na temat tej przypadłości. getimagesize nie sprawdza, czy są doklejone do pliku jakieś dane. Wynika to z tego, że w GIF/PNG wymiary są zapisane bodajże w nagłówku i po prostu dalsza część pliku nie jest potrzebna. Jeśli chodzi o JPG, jest to związane z konkretnymi blokami i dalej plik nie jest już czytany. W zasadzie wystarczy pierwsze pół kilobajta pliku (nawet uciętego), aby getimagesize nie zwróciło błędu. Jeśli chodzi o możliwość wykorzystania tego kodu - była swego czasu luka w SMF, która zamieniała serwery w istne armaty do spamowania (tak nawiasem, pliki maskowały się w katalogach TinyMCE (IMG:style_emoticons/default/winksmiley.jpg) ). O ile w sytuacji, gdy obrazki są tylko dla nas, to nie ma ryzyka (zakładam, że nie będzie wykorzystywane PHP do ich wyświetlania), to w przypadku, gdy coś z nimi robimy (wyświetlanie przez readfile i pochodne) już stwarzało problemy. Nie mam 100% pewności, ale na atak narażone są konfiguracje, w których PHP działa jako aplikacja (Fast)CGI. Cytat standardowo żaden kod (poza plikami .php) nie jest wykonywany. No i tu jest pies pogrzebany - niestety nie masz racji. Serwer nie sprawdza (to jest jedna z głównych przypadłości bezpieczeństwa wykonania skryptów interpretera PHP), jakie rozszerzenie jest wykonywane. Wystarczy nadpisać tablicę MIME i nawet ten spreparowany obrazek się wykona jako skrypt. Cytat Ale tak przy okazji, jeśli erix mówisz o funkcji usuwania meta tagów to jaka to funkcja co? powiedz ImageMagick, dowolne polecenie, parametr -strip: http://www.imagemagick.org/script/command-...tions.php#strip |
|
|
|
Paladyn [PHP]Zawirusowane zdjęcia 18.11.2009, 15:19:59 
Blame Hmm... nie wydaje mi się aby było możliwe umieszcz... 18.11.2009, 15:58:09 misieqq zdjęcia nie da sie zawirusować. plik wykonywalny m... 18.11.2009, 16:23:01 erix CytatCzy rzeczywiście jest to realne zagrożenie? A... 18.11.2009, 16:23:21 seth-kk dodatkowa kompresja na serwerze powinna usunac pot... 18.11.2009, 18:41:36 thek Da się wrzucić wirka do zdjęcia. To kwestia wpisan... 18.11.2009, 19:01:55 erix Cytatdodatkowa kompresja na serwerze powinna usuna... 18.11.2009, 20:59:50 
seth-kk Cytat(erix @ 18.11.2009, 20:59:50 ) I... 18.11.2009, 21:49:18 MWL Hej. Ja prowadzę (udanie) hosting zdjęć ifotos.pl.... 18.11.2009, 22:00:05 erix Cytatbardziej chodzilo mi o "kompresje" ... 18.11.2009, 22:05:04 MWL sory za lekki spam, ale erix ma rację, z resztą ni... 18.11.2009, 22:07:19 l0ud Jak mniemam kod PHP można umieścić i bezpośrednio ... 18.11.2009, 22:11:17 MWL kod PHP możesz umieścić (ale tylko kiedy masz tak ... 18.11.2009, 22:13:13 l0ud CytatNo i tu jest pies pogrzebany - niestety nie m... 18.11.2009, 22:36:07 erix Nie pamiętam już, na czym konkretnie polegał ten b... 18.11.2009, 23:01:32  |
|
Aktualny czas: 14.10.2025 - 09:41 |
