Начал писать скрипт файлообменника! Но вот возникла проблема с загрузкой файлов, т.е. с загрузкой норм, но какие подводные камни могут быть при загрузке аудио, видео, тем(для тел.), java-программ,.
Вообщем раскажите о бехопасной загрузки перечисленых файлов.
Или может я зря волнуюсь!(делать стандартную проверку, расширения и размера).
Буду очень БЛАГОДАРЕН!!!
Спустя 3 минуты, 20 секунд (28.10.2010 - 21:09) vital написал(а):
1. Проверять не расширение,а mime тип.
Спустя 3 минуты, 24 секунды (28.10.2010 - 21:13) PiratXXX написал(а):
vital
ну по повому mime я это не проверяю. я использую pathinfo(), так безопасней.
ну по повому mime я это не проверяю. я использую pathinfo(), так безопасней.
Спустя 3 минуты, 11 секунд (28.10.2010 - 21:16) vital написал(а):
А зря. Что мне мешает закинуть исполняемый файл с расширением .jpg? Как раз проверять надо тип.
Спустя 22 минуты, 6 секунд (28.10.2010 - 21:38) twin написал(а):
vital
| Цитата |
| Что мне мешает закинуть исполняемый файл с расширением .jpg? |
и что будет?
Спустя 4 минуты, 50 секунд (28.10.2010 - 21:43) vital написал(а):
Ну.. как минимум бяка, при попытке эту картинку потом показать.
А если попутно, найти возможность выполнять срипты, через какую-либо другую дыру в системе - то вот вам готовый шелл. Который, кстати тоже извратившись можно залить таким образом. ВАм ли не понимать?
А если попутно, найти возможность выполнять срипты, через какую-либо другую дыру в системе - то вот вам готовый шелл. Который, кстати тоже извратившись можно залить таким образом. ВАм ли не понимать?
Спустя 3 минуты, 42 секунды (28.10.2010 - 21:47) PiratXXX написал(а):
twin
о и по нашей улице инкосатор проходит!)
хотел у тебя как у автарететного программиста спросить...
я когда-то находил статью о безопасной загрузки видео(что-то там про конвертацию было, и еще что-то, яне помню т.к. был полным "дуб дерево хвойное"), ну так вот есть ли какие подводные камни при загрузке видео файлов!?
о и по нашей улице инкосатор проходит!)
хотел у тебя как у автарететного программиста спросить...
я когда-то находил статью о безопасной загрузки видео(что-то там про конвертацию было, и еще что-то, яне помню т.к. был полным "дуб дерево хвойное"), ну так вот есть ли какие подводные камни при загрузке видео файлов!?
Спустя 5 минут, 14 секунд (28.10.2010 - 21:52) twin написал(а):
| Цитата |
| ВАм ли не понимать? |
Я другого не понимаю. mime подделать проще простого, к тому же нет однозначности - различные браузеры передают их по разному.
Если ты боишься исполняемых файлов, то чем mime может помочь?
Если гипотетически допускать возможность исполнения файлов неисполняемых расширений, то тут такие дыры открываются, что такими слабенькими проверками - что фанеркой от пулемета обороняться.
PiratXXX
| Цитата |
| ну так вот есть ли какие подводные камни при загрузке видео файлов!? |
флэш опасно говорят, но я на практике не встречался.
Спустя 11 минут, 55 секунд (28.10.2010 - 22:04) FatCat написал(а):
| Цитата (vital @ 28.10.2010 - 22:43) |
| возможность выполнять срипты, через какую-либо другую дыру в системе |
Типа require $_GET['name'] ?
Тогда нет смысла бяку на сервер грузить, можно и путь к своему файлу на своем сервере скормить.
Не сумел представить дыру, которая представляла бы опасность не сама по себе, а только в случае загрузки файла с подменой миметипа.
Спустя 2 минуты, 27 секунд (28.10.2010 - 22:06) FatCat написал(а):
| Цитата (twin @ 28.10.2010 - 22:52) |
| флэш опасно говорят, но я на практике не встречался. |
Для форумов и подобных публичных ресурсов однозначно опасно. Прозрачная флешь в ширину экрана, ворующая куки на onMouseOut - делается довольно легко; затем добавляется в письмо в личку админу - и вот уже у тебя админские печеньки.
Спустя 5 минут, 56 секунд (28.10.2010 - 22:12) vital написал(а):
Ладно, даже если оставить дыру. Все-равно
| Цитата |
| Ну.. как минимум бяка, при попытке эту картинку потом показат |
+ мусор на сервере. Зачем?
| Цитата |
| mime подделать проще простого |
Я о той проверке mime, который с заголовком файла сверяется, а не с тем, который браузер передает..http://httpd.apache.org/docs/2.0/mod/mod_mime_magic.html
Спустя 4 минуты, 7 секунд (28.10.2010 - 22:16) twin написал(а):
| Цитата |
| + мусор на сервере. Зачем? |
Тоесть пустой квадратик вместо картинки - мусор, а мужской половолй
Если нет модерации, бяк напихают еще каких.
Спустя 4 минуты, 11 секунд (28.10.2010 - 22:20) twin написал(а):
FatCat
На сколько я знаю, ни один порядочный браузер не пустит запрос ни из флэш, ни из аякса на сторонний ресурс.
А вот в операционку как то умудряются из него залезть. Но врать не стану - предмет сей для меня тёмен.
На сколько я знаю, ни один порядочный браузер не пустит запрос ни из флэш, ни из аякса на сторонний ресурс.
А вот в операционку как то умудряются из него залезть. Но врать не стану - предмет сей для меня тёмен.
_____________
http://flibro.com/