Hochgeladene Bilder auf Hijacking überprüfen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Original geschrieben von Kropff
    geht sogar noch viel einfacher. erstell eine textdatei mit diesem code:
    PHP-Code:
    <script type="text/javascript">alert ("Jau");</script
    speicher die als bla.jpg ab, lies sie per php aus und der ie führt das script aus ...
    Wenn das so ist, korrigiere ich mich. Man muss nicht nur die Header nach HTML-Tags durchsuchen sondern auch prüfen, ob die Datei wirklich so aufgebaut ist, wie es die Spezifikation des jeweiligen Dateityps verlangt.
    Bleibt noch zu klären, wie sich der IE verhält, wenn man ein Bild so konstruiert, dass das Format korrekt ist, kein HTML in den Headern steht aber die Bilddaten, die ja i.d.R. irgendwie komprimiert sind, zufällig eine Zeichenfolge in sich haben, die einem HTML-Tag entspricht. Bei sowas helfen dann auch die PHP-Image-Funktionen oder Unix-Tools nicht weiter.

    Kommentar


    • #17
      also zumindest wird kein js-code ausgeführt. habs getestet. allerdings klappt das mit php-code, wenn man keine überprüfung von get-parametern vornimmt. siehe auch hier punkt 3.

      peter
      Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
      Meine Seite

      Kommentar

      Lädt...
      X