Как защититься от взлома при загрузки файлов на сервер?

Статус
В этой теме нельзя размещать новые ответы.
unvisibles написал(а):
При загрузке проверить Mime type рисунка:
Нажмите для раскрытия...
Абсолютно бессмысленно - пример с сигнатурой уже приводился.
расширение можно ... поменять.
Нажмите для раскрытия...
Что абсолютно соответствует моему уже озвученному единственному правилу.
unvisibles написал(а):
А вообще проверок на валидность файлов можно напридумать куеву тучу, только имхо - бред.
Нажмите для раскрытия...
Именно бред.
dandandan написал(а):
1. Можно в htacsess прописать, чтобы gif / jpg / png исполнялся как php. И будет серверу счастье :)
Нажмите для раскрытия...
SiMM написал(а):
Даже на нормальнонастроенном сервере находятся идиоты
Нажмите для раскрытия...
 
dandandan написал(а):
1. Можно в htacsess прописать, чтобы gif / jpg / png исполнялся как php. И будет серверу счастье :)
2. Ява скрипт можно легко отключить. Не знаю как ява скрипт, а php код в картинке может выполниться.
Нажмите для раскрытия...

1. Ну если ещё и дать доступ клиенту к .htaccess тогда да :D ...

2. Приведи пример ;) PHP код интерпретируется на стороне сервера, и только после полной обработки отсылает HTML результат браузеру пользователя. Что то туго я себе представляю, как браузер клиента начиная открывать рисунок вдруг понимает что это PHP код и начинает сам его обрабатывать ;)
 
unvisibles написал(а):
1. Ну если ещё и дать доступ клиенту к .htaccess тогда да :D ...

2. Приведи пример ;) PHP код интерпретируется на стороне сервера, и только после полной обработки отсылает HTML результат браузеру пользователя. Что то туго я себе представляю, как браузер клиента начиная открывать рисунок вдруг понимает что это PHP код и начинает сам его обрабатывать ;)
Нажмите для раскрытия...
частая ошибка это когда .php файл залить нельзя, но можно залить картинку - в которой PHP код, а потом ее переименовать - так вот при переименовывании частенько не проверяют экстеншн файла, и тогда это сработает - т.к. 1.jpg становится 1.php. ну а так просто конечно - не вариант. поэтому самое главное, отслеживать экстеншн файлов - которые ты сохраняешь/переименовываешь, а не их содержимое.
 
upandhigh написал(а):
частая ошибка это когда .php файл залить нельзя, но можно залить картинку - в которой PHP код, а потом ее переименовать...
Нажмите для раскрытия...

Такс, мы уже заползли в дебьри :) Интерестно какому сервису или сайту интерестно переименовывать рисунки в .php ! :) Сам клиент этого зделать ну никак не сможет.

Единственное место где такое возможно, это при покупке хоста или сабдомена. Тогда делай что угодно, хоть .htaccess меняй, хоть из рисунков делай .php файлы.

Вообщем, все зависит от кривости рук ;)
 
unvisibles написал(а):
Такс, мы уже заползли в дебьри :) Интерестно какому сервису или сайту интерестно переименовывать рисунки в .php ! :) Сам клиент этого зделать ну никак не сможет.
Нажмите для раскрытия...
дык никому не интересно, но такие ошибки встречаются - причем чаще это можно встретить в админках, для позователей класса модер - кто может менять сообщения, редактировать категории товаров например и заливать картинки. по умолчанию он считается "свой". функция залива файлов - имеется только у "администрации", следовательно безопасность с этой стороны почему особо тщательно не продумывается. и отсюда такие ляпосы. т.е. достаточно стать модером ресурса - чтобы поиметь весь рес. в общем я к тому - что это не из фантастики, а исключительно из жизненного опыта.
 
unvisibles написал(а):
Интерестно какому сервису или сайту интерестно переименовывать рисунки в .php ! :) Сам клиент этого зделать ну никак не сможет.
Нажмите для раскрытия...
/me читая заголовок топика - файлы - это не только картинки.
 
dandandan написал(а):
Возникло несколько вопросов.
По 1. Т.е. задаю разрешенные расширения и проверяю по ним ?
2. Если будет deny from all, то как тогда браузер обратится к файлу или отдавать его через скрипт?
3. Про ковычку понятно, а про ноль - ни разу не слышал. можно примерчик.
4. Т.е. на htacess нужно выставлять chmod 664, чтобы его не затерли ? можно ли вообще извне (не скриптом на сервере) что-нибудь затереть или удалить? Сам предполагаю, что нельзя :).
5.*** скрытое содержание *** В принципе из-за этого вопрос и возник. Сам аплоад нужен для закачки картинок пользователями, а так же для того, чтобы передать админку фрилансеру для заполнения сайта материалами.
p.s. движок полностью самописный.
*** скрытое содержание ***
Нажмите для раскрытия...

1. да, причем активно убирая из имён вторые точки, слэши, проценты и прочую левизну
2 если deny from all,то отдавать через скрипт и тоже проверять чтобы скрипт не отдавал остальные файлы с сервера - убирать разные /../ из адреса
или просто под картинки намутить папку в которой ничего не выполняется
3
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

4 можно если вирусом у тебя с компа уйдут на сторону пароли фтп-клиента (таких вирусов дофига) с паролями на фтп-доступ к твоему сайту
 
ппц, совсем запугали ТС.
dandandan, если сможешь разобраться, посмотри/изучи как происходить заливка файлов на форумы(IPB, vBulletin) и сделай по аналогии. А то такими темпами придешь к мысли, что тебе все это нафиг не нужно.
 
а проверка по mime типу
 
alexana написал(а):
а проверка по mime типу
Нажмите для раскрытия...
Проверка по mime-типу вещь достаточно бесполезная, потому что он отдается от пользователя, в виде текстовой строки в пост-запросе
Подменяется на раз чем угодно, любым средством отправки пакетов -скриптом, виндовой прогой, плагином к браузеру и т д
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху