Mam następujące pytanie.
Mam sobie naprzyklad hosting fotek. I mozna tylko uploadowac fotki. Co jest niebezpiecznego w tym jak sprawdzam samo rozszerzenie pliku, ale nie sprawdzam jego nagłówka? Jak włamywacz może to wykorzystać?
Pełna wersja: bezpieczeństwo uploadu
Hehe, człowiek uczy się na błędach...
Sam tak miałem. Obecjie na ifotos.pl mam zabezpieczenie przed zarówno nagłówkami (content/type), jak i rozszerzenie. Ale pamiętaj. Mime type zawsze możesz zmienić! Na początek miałem samo mimetype i ktoś podałał plik .php z mime type image/jpeg.
Zapraszam na bloga beldzia...
Sam tak miałem. Obecjie na ifotos.pl mam zabezpieczenie przed zarówno nagłówkami (content/type), jak i rozszerzenie. Ale pamiętaj. Mime type zawsze możesz zmienić! Na początek miałem samo mimetype i ktoś podałał plik .php z mime type image/jpeg.
Zapraszam na bloga beldzia...
Spróbuj odczytać szerokość i wysokość obrazka. Jeśli to nie będzie możliwe, to prawdopodobnie nie jest to plik graficzny.
Cytat
Mam sobie naprzyklad hosting fotek. I mozna tylko uploadowac fotki. Co jest niebezpiecznego w tym jak sprawdzam samo rozszerzenie pliku, ale nie sprawdzam jego nagłówka? Jak włamywacz może to wykorzystać?
Może zapchać Ci serwer zbędnymi plikami, np. wgrywając archiwa pod rozszerzeniem .jpg. Prócz tego nic Ci nie grozi
a tu znalazlem taki temat:
http://forum.php.pl/index.php?showtopic=104176&hl=
gosc sprawdzal i mime i rozszerzenie pliku i jego skrypt byl podatny na atak jak udowodniono w temacie. Jak do tego doszło?
(sprawdzał je używając tablicy $_FILES)
http://forum.php.pl/index.php?showtopic=104176&hl=
gosc sprawdzal i mime i rozszerzenie pliku i jego skrypt byl podatny na atak jak udowodniono w temacie. Jak do tego doszło?
(sprawdzał je używając tablicy $_FILES)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.