nochmal Sicherheit...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • nochmal Sicherheit...

    Hallo ich bins nochmal

    Nochmal ne Frage zur Sicherheit....

    Mein Gästebuch-Script ist soweit fast fertig (mit Upload-Funktion für Bilder), aber jetzt hab ich irgendwo gelesen dass mal relativ einfach bösartigen Code auf den Server hochladen kann in einer Datei die sich als JPEG oder GIF ausgibt aber in Wirklichkeit z.B. eine PHP-Datei ist mit entsprechendem Code. Jedenfalls hab ichs getestet indem ich einfach per ASCII-Editor einen File-Header aus einer JPEG-Datei in eine PHP-Datei reinkopiert hab. Über

    PHP-Code:
    exif_imagetype($_FILES['Bilddatei']['tmp_name']) 
    liess sich diese Datei dann auf dem Server nicht zweifelsfrei "aussondern". Hatte jetzt die Idee, direkt nach dem Erstellen eines Thumbnails aus dem Bild (mithilfe von imagecopyresampled() )die hochgeladene Ursprungs-Datei über unlink("ursprungsdatei.jpg") zu entsorgen.

    Bei der Generierung des Thumbnails aus einer Original-Datei müsste ja eigentlich auch etwaiger bösartiger Code verlorengehen oder?


    Vielen Dank für eure Antworten,

    der Dilettant

  • #2
    aber jetzt hab ich irgendwo gelesen dass mal relativ einfach bösartigen Code auf den Server hochladen kann in einer Datei die sich als JPEG oder GIF ausgibt aber in Wirklichkeit z.B. eine PHP-Datei ist mit entsprechendem Code.
    lass uns erstmal über eine konkrete problemdefinition reden. wo hast du das gelesen? wie funktioniert die ausführung dieses code? gab es beispiele dazu?

    Kommentar


    • #3
      ich sagte ja, "irgendwo"... weiß nicht mehr wo! Beispiele gabs dazu jedenfalls nicht, es wurde nur erwähnt dass die Möglichkeit besteht und dass man deshalb Dateien sorgfältig filtern soll, die vom User auf den Server übertragen werden können.

      Mir geht es vor allem darum, ob ich mit meinem Ansatz überhaupt was effektives dafür tue, dass die Möglichkeit unterbunden wird, in "falschen" - oder auch richtigen - Bilddateien Code zu verstecken, der dann auf dem Server ausgeführt werden kann.

      Kommentar


      • #4
        aber du wirst zugeben müssen, dass es schwer wird, sich vor etwas zu schützen, von dem man nicht weiß, wie es funktioniert.

        ich würd vorschlagen, du recherchierst noch ein wenig und findest heraus, wovor du dich eigentlich absichern möchtest.

        Kommentar


        • #5
          Ich wage zu behaupten, dass es "irgendwo" ein allgemeiner Hinweis war.

          Denn i.d.R. schreibt man ja kein Bild-Upload-Script, dass die Bilder ausführt (z.B. als PHP-Script includiert).

          Kommentar


          • #6
            Vielleicht eine kleine Idee: http://www.php-resource.de/manual.ph...n.getimagesize


            Mit GetImageSize() ermitteln Sie die Daten jeder GIF-, JPG-, PNG oder SWF-Datei. Es werden die Ausmaße in Abhängigkeit vom Grafik-Typ sowie die Höhe und Breite als ein String zurückgegeben. Dieser kann innerhalb eines regulären HTML IMG-Tags verwendet werden.

            Es wird ein Array aus 4 Elementen zurück gegeben. Im Array-Index 0 steht die Breite. Index 1 enthält die Höhe, 2 ein Flag je nach Grafik-Typ (1 = GIF, 2 = JPG, 3 = PNG, SWF = 4) und Index 3 die richtige Zeichenkette im Format "height=xxx width=xxx" zur Verwendung im IMG-Tag von HTML.

            Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
            sondern mit den Augen das Manual zu lesen.

            Kommentar

            Lädt...
            X