![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 10 Pomógł: 0 Dołączył: 3.09.2011 Ostrzeżenie: (0%) ![]() ![]() |
Witam
Istnieje możliwość zapisania w exif tags obrazka kodu php co może być niebezpieczne. Napisałem bardzo prosty skrypt do sprawdzania kodu php w obrazkach i mam prośbę o sprawdzenie czy ten kod wystarczy, sprawdzałem kod i rzeczywiście odróżnia obrazek z niebezpiecznym kodem od zwykłego obrazka ale może ktoś z was ma inne zdanie i wie jak oszukać ten skrypt (IMG:style_emoticons/default/questionmark.gif) ? (IMG:style_emoticons/default/guitar.gif)
Pomijam resztę zabezpieczeń post jest tylko o exif tags. Bardzo fajny artykuł na ten temat jest tutaj http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/ ale nie ma tam info jak wykryć niebezpieczny kod. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 307 Pomógł: 37 Dołączył: 9.11.2010 Skąd: Zielona Góra Ostrzeżenie: (0%) ![]() ![]() |
Po jaką cholere wam te sprawdzanie ? Przecież i tak obrazy nie zostaną wczytane podczas wykonania skryptu PHP tylko dopiero potem doczytane zostaną przez klienta. Nie rozumiem w czym tutaj problem ? W jakiej sytuacji wg. was taki kod może zostać wykonany w skrypcie ? Pomijaj include/require bo nikt normalny tak nie wczytuje grafiki do kodu. Nawet gdyby udało się tam 'przemycić' kod w PHP to i tak nie ma możliwości wykonania go na serwerze, a jeżeli taka możliwośc jednak istnieje to NIE JEST to błąd w zabezpieczaniu uploadu obrazów tylko błednie napisany kod strony.
P.s-Tylko prosze was nie zasłaniajcie sie tym kodem z php-fusion'a. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 9.10.2025 - 10:44 |