[ Príspevkov: 9 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 09.01.2009 19:48 | Bezpečnosť obrázkov

Chcem sa spýtať,
je mi jasné že pri nahravaní nesmiem povoliť aby sa mi tam nahrali scripty PHP, ale neviem prečo, teda resp. je mi jasné že pokiaľ ich potom na stránke spustia je to riziko, ale pokiaľ sa zobrazia v <img> sú potencionálne nebezpečné??

Neviem či ste ma pochopili takže konkretne :D

Chcem uživateľovi povoliť obrázok z cudzieho servara (teda nie z môjho) a chcem vedieť že keď do <img> hodí PHP tak či to usera môže nejako ohroziť (ja si myslím že hej). A ešte by ma zaujímalo že cez môj filter neprejde súbor s príponou .php ani % tak či je potom útočník schopný nahrať PHP kód.

Za info dikes.


Offline

Čestný člen
Čestný člen
Bezpečnosť obrázkov

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 09.01.2009 20:08 | Bezpečnosť obrázkov

napriklad ie dokaze interpretovat html a javascript v subore s neviem ci gif alebo jpeg headerom. php by sa ti vykonat nemalo, ak mas na serveri nastavene, aby sa vykonavalo len v suboroch s php koncovkou


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
Bezpečnosť obrázkov

Registrovaný: 26.11.06
Prihlásený: 23.09.17
Príspevky: 4123
Témy: 317 | 317
Bydlisko: HE/BA
NapísalOffline : 09.01.2009 20:10 | Bezpečnosť obrázkov

Sú nebezpečné aj v IMG tagu, pretože tam sa púšťajú tiež. A je schopnú ak nahrá s inou príponou. Keď na serveri máš napríklad mod_rewrite nastavený na prepisovanie HTML za PHP tak keď niekto nahrá HTML súbor tak to spustí rovnako. Ale keď to vieš ošetriť pred PHP tak určite aj pred HTML ;)


_________________
Desktop: CASE: Cooler Master Centurion 532 MB: ASUS P5Q PRO Turbo CPU: Intel Core 2 Quad Q6600@2,4GHz FSB 1066MHz RAM: A-Data Vitesta 2×2GB 800MHz Cl 4-4-4-12 2T GPU: PowerColor PCS+ HD6950 HDD: Seagate Barracuda 500GB 7200rpm ODD1: LG DVD+/-RW + LS(PATA) ODD2:LG DVD+/-RW(SATA) PSU: LCD: DELL U2414M 24" 1920x1200
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
Napísal autor témyOffline : 09.01.2009 20:21 | Bezpečnosť obrázkov

no ja si myslim že ak mi niekto da ako url:
www.server.sk/obrazok/hackersky.gif

pričom on cez mod_rewrite rewrituje ten hackersky.gif za script.php?subor=hackersky.php, pričom vykoná napr čítanie cookies, presmrovanie čokoľvek, alebo ešte prefikanejšie by na konci vykreslil nejaké skutočné gifko tak som vlastne pohorel :D

Ale potom prešlo by to cez príkaz imagecreatefromgif() ??


Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť obrázkov

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 09.01.2009 21:41 | Bezpečnosť obrázkov

čítanie cookies by mu nepomohlo, keďže by mu poslalo cookies iba z www.utocnikov-server.sk

Problém tu spočíva v CSRF (cross site request forgery).
Napríklad ti teoreticky za (ne)ideálnych podmienok môže preštelovať router. V niektorých routroch s defaultnými prihlasovacími údajmi sa môžeš prihlásiť pomocou http://user:user@192.168.1.1. Čiže spravíš prihlásenie pomocou
Kód:
<img src="http://user:user@192.168.1.1"/>

Potom ďalším obrázkom môže čo ja viem spraviť čosi ako 192.168.1.1/reset_settings.jsp. Samozrejme, závisí to od toho, ako sa to v tom ktorom routri nastavuje, ale ak má útočník možnosť "zobraziť" 200 takýchto "obrázkov", môže vyskúšať rôzne konfigurácie, rôzne routre, proste všeličo.
V prípade, že má užívateľ tieto nastavenia (veľmi pravdepodobné, veľa BFU to vôbec nevie nastaviť), máš otvorenú cestu. Firefox ťa upozorní, že sa niekam chceš prihlásiť, ale neviem, či to robí aj IE. A aj keď zobrazí varovanie, tak čo? Kliknem na áno, veď to je určite len jedno z tých zbytočných okienok (pohľad bežného užívateľa).
A v podstate môže urobiť čokoľvek, na čo stačí url. Napríklad www.stranka-kde-som-prihlaseny.sk/delete_my_photo.php

Dúfam, že som správne pochopil, že chceš povoliť linkovanie na cudzie stránky


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
Napísal autor témyOffline : 10.01.2009 15:59 | Bezpečnosť obrázkov

áno ale vlastne mám filter nastavený tak že toleruje iba adresu bez @ a obrázky tu a-zA-Z0-9._- a potom filter na prípnu čiže iba:
www.stranka.sk/xxx nprejde
www.stranka.sk/xxx.php neprejde
www.stranka.sk/xxx.png prejde ...


Offline

Čestný člen
Čestný člen
Bezpečnosť obrázkov

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 10.01.2009 16:26 | Bezpečnosť obrázkov

Kontroluj, či to je skutočne obrázok (cez php si zisti jeho šírku) a máš po probléme.


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
Napísal autor témyOffline : 10.01.2009 16:47 | Bezpečnosť obrázkov

no zisťujem jeho šírku ... ok dik shaggy


Offline

Čestný člen
Čestný člen
Bezpečnosť obrázkov

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 10.01.2009 21:08 | Bezpečnosť obrázkov

Nz, to je jedna zo základných ochrán. Aj prípona aj MIME type sa dá oklamať, ale ak to nebude skutočný obrázok, tak ti nevráti jeho rozmery.


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
 [ Príspevkov: 9 ] 


Bezpečnosť obrázkov



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

bezpecnost

v PHP, ASP

6

371

05.02.2008 16:27

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost routeru

v Bezpečnosť a firewally

1

472

28.11.2009 11:32

Jaro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť COOKIE

v PHP, ASP

17

800

25.10.2008 14:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť videa

v Krčma

11

378

30.01.2012 9:39

TESLA

V tomto fóre nie sú ďalšie neprečítané témy.

akú bezpečnosť

v Bezpečnosť a firewally

18

2077

06.08.2007 13:05

Rbot

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť webu

v Ostatné

1

116

22.02.2016 19:08

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť $_COOKIE

v PHP, ASP

29

346

18.11.2014 19:02

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost stranky

v PHP, ASP

5

184

24.08.2013 22:04

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť MYSQL

v PHP, ASP

2

376

15.03.2008 18:55

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

VB-bezpečnosť

v Delphi, Visual Basic

6

581

21.05.2009 11:41

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

bezpečnosť webu

v PHP, ASP

12

233

18.02.2013 15:18

PepperSK

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť Windows

v Antivíry a antispywary

7

232

17.11.2015 13:33

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

SKYPE bezpečnosť

v Sieťové a internetové programy

3

998

07.05.2010 15:32

tonky51

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť ICQ

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Bezpečnosť a firewally

30

5528

19.08.2007 23:09

piskvorko

V tomto fóre nie sú ďalšie neprečítané témy.

Session a bezpečnosť

v PHP, ASP

1

259

01.05.2008 16:38

kmsa



© 2005 - 2017 PCforum, edited by JanoF