Zmiana rozszerzenie pliku z poziomu przeglądarki Opcje

[Wilu88]

Witam

Ostatnio nurtuje mnie temat zabezpieczenia uploadu zdjęć z poziomu przeglądarki.

Naczytałem się o preparowaniu rozszerzenia pliku php na .php.jpg i tym samym podszycie się pod obrazek np skryptowi shella. I teraz pytanie czy jeśli strona nie pozwoli na wysłanei na serwer pliku z rozszerzeniem .php ale przepuści plik .php.jpg to będzie mógł haker dokonać zmiany tego pliku będącego już na serwerze? Jeśli tak to jak? Bo z tego co widziałem to jedyna możliwość to zmiana rozszerzenia w momencie POST'a ale mój skrypt sprawdza rozszerzenia po przesłaniu POST'em także nie przepuści pliku .php.

Ten post edytował Wilu88 24.07.2012, 21:18:35

[peter13135]

nie ma takiej możliwości, ale może być użyty w ataku LFI jeśli skrypt na to pozwala (jeśli się mylę - poprawcie)

Ten post edytował peter13135 24.07.2012, 22:50:48

[Aqu]

@peter asz rację, chodzi o ataki LFI.

Powiedzmy, że masz taką stronę:

[PHP] pobierz, plaintext 
<?PHP
// index.php
include($_GET['page'].'.php');
?>
[PHP] pobierz, plaintext 

więc takie linki: index.php?page=rejestracja
Jeżeli na stronie jest możliwość wrzucania plików (awatary, załączniki itp.) to możemy zrobić plik np. shell.jpg a w środku

[PHP] pobierz, plaintext 
<?PHP
echo 'test';
?>
[PHP] pobierz, plaintext 

Zmieniamy link na taki: index.php?page=shell.jpg%00 i wykonuje nam się kod z "obrazka".
%00 - bajt zerowy, ucina wszystko co jest po nim czyli nasz ".php".

[prowseed]

Jeżeli serio masz zamiar w taki sposób ładować strony, to rozbij to sobie na switch i wyeliminujesz niechciane stringi.

[Wilu88]

Nie na szczęscie wszędzie gdzie są include to albo są to na stałe zadeklarowane pliki, albo pobierane są ze switcha nigdy bezpośrednio z linka.

A tak jeszcze zapytam. Czy istnieją jakieś aplikacje które testują stronę pod kontem LFI?