 Skrypt uploadu, podmiana rozszerzeń., Bezpieczeństwo. |
| Skrypt uploadu, podmiana rozszerzeń., Bezpieczeństwo. |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 2.07.2007 Ostrzeżenie: (0%) 
 |
Witam
Napisałem skrypt, który wysyła pliki graficzne na serwer, tylko o rozszerzeniach: jpeg, gif, png. Ale przecież można zmienić plikowi php rozszerzenie na jpeg a "niedobry" plik zostanie załadowany na serwer. Jednakże jak potencjalny hacker może uruchomić taki plik. Przecież kiedy wywoła ten plik nie zostanie on wykonany. Więc w czym tkwi niebezpieczeństwo? Przed chwilą przeczytałem, że lepiej filtrować przy pomocy "MIME" pliku. Sam nie wiem. Mam nadzieję, że post jest zrozumiały. Pozdrawiam. |
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 1 116 Pomógł: 119 Dołączył: 10.05.2005 Skąd: Poznań Ostrzeżenie: (0%)
|
Oczywiście najlepiej jest filtrować po MIME... masz do tego dostęp w tablicy globalnej $_FILES, więc nie akceptuj tych, których nie chesz akceptować. Dodatkowym rozwiązaniem jest niedopuszczenie do bezpośredniego dostępu do danego pliku, tylko poprzez jakiś Twój spreparowany kod (readfile()). To uniemożliwi hakerowi odpalenie zuploadowanego skryptu
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 2.07.2007 Ostrzeżenie: (0%)
|
Rozumiem MIME jest bezpieczniejsze.
Jednak chciałbym się dowiedzieć jeszcze jednej rzeczy. Jak uruchomić tak spreparowany plik php (zmiana rozszerzenia) aby się wykonał na serwerze? Przecież to chyba niemożliwe, chyba, że jest jakaś magiczna opcja w ustawieniach apache, php itp. |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 1 116 Pomógł: 119 Dołączył: 10.05.2005 Skąd: Poznań Ostrzeżenie: (0%)
|
no najprościej to zuploadować plik hack.php na serwer (http://fakeserwer.pl) i potem uruchomić normalnie na przykład poprzez http://fakeserwer.pl/uploaded_files/hack.php. Jest jeszcze wieeeeeele innych sposobów i każdy w jakiś sposób łamie zabezpieczenia. Oczywiście nie jest tak tragicznie, bo nie wszyscy są Gumisiami
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 2.07.2007 Ostrzeżenie: (0%)
|
Chodzi mi o to, że np. mamy serwer: http://www.fakeserwer.pl i pozwala on nam wysyłać pliki tylko z rozszerzeń , jpeg, gif, png.
Piszemy hax0rski skrypt(hax.php), zmieniamy mu rozszerzenie na jpeg(hax.jpeg) i wysyłamy na serwer. Wówczas odpalenie: http://www.fakeserwer.pl/hax.jpeg nie działa. Jak sprawić aby zaczęło działać 
|
|
|
|
|
Post
#6
|
|
 Grupa: Zarejestrowani Postów: 508 Pomógł: 75 Dołączył: 2.11.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%)
|
Mi sie wydaje ze sie nie da
 Ani razu z takim czyms sie nie spotkalem...
|
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 535 Pomógł: 27 Dołączył: 3.05.2005 Ostrzeżenie: (20%) 
|
Aby zadziałało potrzeba zmienić w htacces lub php.ini aby wykonywało parsowało pliki .jpg sam tego kiedyś używałem.
|
|
|
|
 |
|
Aktualny czas: 19.08.2025 - 18:38 |
