Witam serdecznie,
Chciałbym się poradzić mądrych glów tego forum jak zapobiec kolejnemu atakowi na swój portal.
Kilka dni temu pewien żartowniś podmienił mi plik index.php na swój co zrobił wykorzystując niewielki skrypt php typu backdoor.
To portal na joomli w którym jest dodatek garys cookbook za pomocą którego można dodawać przepisy kulinarne ze zdjęciami. Wygląda to tak jakby ten haker poprostu zamiast wskazania pliku ze zdjęciem wstawił plik .php (wskazuje na to lokalizacja i format nazwy pliku). Ja jednak nie jestem w stanie tak zrobić.... pokazuje "błędny plik obrazka i sie nie zapisuje skrypt na serwerze...
Ktoś ma jakieś pomysły jak to dobrze zabezpieczyć? jakiś filtr? przepisywanie rozszerzeń? ochrona jakoś przez htaccess?
każda wskazówka się przyda... pozdrawiam i dzieki z góry
Pełna wersja: PHP backdoor - zabezpieczenie formularza/katalogu
Można sprawdzać czy plik jest obrazkiem przez getimagesize() ,oprócz tego oczywiście standardowa walidacja.
Przeczytaj ten wątek może pomoże http://forum.php.pl/index.php?showtopic=93769
ps jesli ten dodatek includuje
obrazki to ten art może zobrazować problem http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/
Przeczytaj ten wątek może pomoże http://forum.php.pl/index.php?showtopic=93769
ps jesli ten dodatek includuje
obrazki to ten art może zobrazować problem http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/
Słyszałem, że też dobrą metodą jest użycie funkcji imagejpeg, imagepng, imagegif...
Nie wiem czy dobrze pamiętam, ale one usuwają linie, bity, które nie opisują obrazka.
Pozdrawiam.
Nie wiem czy dobrze pamiętam, ale one usuwają linie, bity, które nie opisują obrazka.
Pozdrawiam.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.