И кто-то вместо песенки он решил закинуть php скрипт, который должен совершить что-то плохое, например.
Но, при загрузке этого скрипта, его имя приобретет расширение .mp3 в любом случаи, и браузер не запустит его как php скрипт по идее.
Есть ли тут опасность?
Спустя 1 час, 2 минуты, 25 секунд (24.12.2010 - 19:16) twin написал(а):
Конечно.
Особенно если дать возможность загрузить фитиль. Пока скрипт грузится, юзер с другой стороны поджигает фитиль и все... Сервер взорван. Сайт погиб Миллионы обездоленных юзеров мечутся по интернету в панике и задают друг другу вопросы - а что с сайтом???? Когда откроют мой любимый сайт???? Бр-р-р... Ужос.
Скрипт запускает не брузер, а сервер. Браузер просто просит сервер откликнуться на запрос. А уж что сервер там сделает и как приготовит страницу - на его совести. А так, как 99% сайтов находятся на одинаковых серверах, закономерен вопрос. Кто умнее, тысячи разработчиков серверных программ или сосед по парте хацкер-вундеркинд, который норовит закинуть скрипт под видом картинки?
Особенно если дать возможность загрузить фитиль. Пока скрипт грузится, юзер с другой стороны поджигает фитиль и все... Сервер взорван. Сайт погиб Миллионы обездоленных юзеров мечутся по интернету в панике и задают друг другу вопросы - а что с сайтом???? Когда откроют мой любимый сайт???? Бр-р-р... Ужос.
Скрипт запускает не брузер, а сервер. Браузер просто просит сервер откликнуться на запрос. А уж что сервер там сделает и как приготовит страницу - на его совести. А так, как 99% сайтов находятся на одинаковых серверах, закономерен вопрос. Кто умнее, тысячи разработчиков серверных программ или сосед по парте хацкер-вундеркинд, который норовит закинуть скрипт под видом картинки?
Спустя 11 минут, 7 секунд (24.12.2010 - 19:27) Guest написал(а):
twin
и как же проверить принадлежность файла к какому-то типу?
ведь можно пхп скрипт засунуть с расширением .mp3 , как же тогда быть?
и как же проверить принадлежность файла к какому-то типу?
ведь можно пхп скрипт засунуть с расширением .mp3 , как же тогда быть?
Спустя 25 минут, 48 секунд (24.12.2010 - 19:53) inpost написал(а):
Guest
А почему он запустится? Видя расширение mp3 его пытаются воспроизвести, а не обработать PHP интерпретатором.
А почему он запустится? Видя расширение mp3 его пытаются воспроизвести, а не обработать PHP интерпретатором.
Спустя 29 минут, 21 секунда (24.12.2010 - 20:22) hellmin написал(а):
Т.е. тут http://phpforum.ru/index.php?showtopic=38255 предпоследний ответ, мягко сказать, не верен?
Спустя 7 минут, 26 секунд (24.12.2010 - 20:29) Guest написал(а):
inpostтак и я так думал, но twin написал, что можно запустить как скрипт. )
Спустя 3 минуты, 53 секунды (24.12.2010 - 20:33) Guest написал(а):
hellmin
я посмотрел пост с твоей ссылки. Изображение легче проверить на валидность, стоит только загрузить его с помощью гд и посмотреть, что вернет, тру или фолс, а вот с остальными типами не так все просто.
я посмотрел пост с твоей ссылки. Изображение легче проверить на валидность, стоит только загрузить его с помощью гд и посмотреть, что вернет, тру или фолс, а вот с остальными типами не так все просто.
Спустя 1 час, 11 минут, 33 секунды (24.12.2010 - 21:45) linker написал(а):
hellmin
Мой ответ справедлив, ибо так было поломан не один сайт. Подделка того, что лежит в $_FILES['myfile']['name'] лечится
Мой ответ справедлив, ибо так было поломан не один сайт. Подделка того, что лежит в $_FILES['myfile']['name'] лечится
basename($_FILES['myfile']['name'])$_FILES['myfile']['type'] также легко подделывается. Вероятность того, что вас поимеют, всегда есть. Банальная защита - это приводить загружаемую картинку к какому-то одному формату.
Спустя 15 минут, 50 секунд (24.12.2010 - 22:01) SlavaFr написал(а):
a прeкинь если .htaccess зарядят? 
тоесть названия нужно по любому проверять.
тоесть названия нужно по любому проверять.
Спустя 35 минут, 59 секунд (24.12.2010 - 22:37) twin написал(а):
linker
| Цитата |
| Мой ответ справедлив, ибо так было поломан не один сайт. |
Загрузкой php кода в файл с расширением mp3? Ты недоговариваешь чего то. допустим того, что еще должна быть возможность его куда то подключить. Но это уже другая опера. Причем тут загрузка?
Приводить к одному типу идея хорошая, но не оптимальная. Это сродни паранои. Дуть на воду, если у кого то было горячее молоко.
Если есть возможность подключать файлы, нужно искоренять её, иначе получится, что мы лечим насморк, когда вовсю бушует спид.
SlavaFr
| Цитата |
| a прeкинь если .htaccess зарядят? |
А ты попробуй кстати на нормальном хостинге.
Спустя 6 минут, 33 секунды (24.12.2010 - 22:43) hellmin написал(а):
linker
Что-то я не понял про basename($_FILES['myfile']['name'])
Что-то я не понял про basename($_FILES['myfile']['name'])
| Цитата |
| При данной строке, содержащей путь к файлу, эта функция возвращает базовое имя файла. Если имя файла оканчивается суффиксом suffix, он также отсекается. В Windows и слэш (/), и обратный слэш (\) используются как символ-разделитель. В других средах это слэш (/). |
А что даст мне имя файла?
| Цитата |
| Банальная защита - это приводить загружаемую картинку к какому-то одному формату. |
А вот это серьезная штука... не додумался до нее.
Спустя 49 минут, 45 секунд (24.12.2010 - 23:33) linker написал(а):
twin
Эта тема вылилась из вопроса про проверку типа загружаемого файла - картинки. Не всегда содержимое соответствует ожидаемому типу. На счет mp3 не знаю, но думаю, что всегда можно в багтраке раскопать какую-нибудь уязвимость в том или ином приложении, чтобы заставить работать систему в целом не так, как оно задумывалось.
Вопрос философский, ты не дуешь на воду до тех пор, пока тебе не подсунут горячее молоко. А в русской культуре есть замечательная поговорка на этот счет: "Пока гром не грянет - мужик не перекрестится", но и лоб расшибать тоже не стоит.
Есть методы, в них свои плюсы и минусы. Каждый думает сам.
P.S. Вспомнил, по поводу внедрения заголовков картинок в php-скрипты, так ломался всем известный phpBB.
Эта тема вылилась из вопроса про проверку типа загружаемого файла - картинки. Не всегда содержимое соответствует ожидаемому типу. На счет mp3 не знаю, но думаю, что всегда можно в багтраке раскопать какую-нибудь уязвимость в том или ином приложении, чтобы заставить работать систему в целом не так, как оно задумывалось.
Вопрос философский, ты не дуешь на воду до тех пор, пока тебе не подсунут горячее молоко. А в русской культуре есть замечательная поговорка на этот счет: "Пока гром не грянет - мужик не перекрестится", но и лоб расшибать тоже не стоит.
Есть методы, в них свои плюсы и минусы. Каждый думает сам.
P.S. Вспомнил, по поводу внедрения заголовков картинок в php-скрипты, так ломался всем известный phpBB.
Спустя 43 минуты, 25 секунд (25.12.2010 - 00:16) Админ написал(а):
linker
ukoz до сих пор ломается если мини чат включен
ukoz до сих пор ломается если мини чат включен
Спустя 16 минут, 18 секунд (25.12.2010 - 00:33) twin написал(а):
linker
| Цитата |
| Вопрос философский, ты не дуешь на воду до тех пор, пока тебе не подсунут горячее молоко. |
Да не... У нас в армии (в авиации) говорили - внеплановое ТО, в соседней деревне телега сломалась... Я не стану дуть на воду, которую только что набрал из колодца. Вероятность, что под ним прорвало теплотрассу есть, но стоит ли оно того? Легкие не казенные.
| Цитата |
| "Пока гром не грянет - мужик не перекрестится", но и лоб расшибать тоже не стоит. |
Вот именно. А в погоне за "безопасностью" лоб бывает в шишках не только от грома, но и от того, что ссосед пукнул.
| Цитата |
| так ломался всем известный phpBB. |
Ну а я про что? Если он дыряв как решето (это не секрет), то разве помогут такие полумеры? Болезнь лечить надо, а не глушить анальгетиками и морфинами.
Спустя 30 минут, 22 секунды (25.12.2010 - 01:03) ИНСИ написал(а):
офигеть ... интересно, как же тогда facebook защищается? Есть вопрос: А нельзя ли через php.ini задать параметр, если запросить определенный файл через браузер, чтобы просто на скачивание давал? И будет ли это защитой?
Спустя 18 минут, 46 секунд (25.12.2010 - 01:22) twin написал(а):
пипец... нет слов. От чего защита то нужна? От вируса эболы? Ну одень ОЗК и бункер построй.
Я удаляюсь, стыдно слушать. Разберитесь в процессах, потом думайте о защите. А то слышал звон...
Я удаляюсь, стыдно слушать. Разберитесь в процессах, потом думайте о защите. А то слышал звон...
Спустя 8 часов, 38 минут, 12 секунд (25.12.2010 - 10:00) linker написал(а):
twin
| Цитата |
| Вероятность, что под ним прорвало теплотрассу есть, но стоит ли оно того? Легкие не казенные. |
Между прочим, дуть очень способствует улучшению состояния легких, развивает грудные, легочные мышцы и т.д., короче много пользы и никакого вреда. Мне странно слышать подобное наплевательство от эксперта.
Спустя 41 минута, 21 секунда (25.12.2010 - 10:41) twin написал(а):
Неудачный пример с легкими, согласен. Но ты же предлагаешь каждый раз перед тем как попить воды, сдавать её на анализ в санэпидемнадзор.
Если под колодцем дырявая канализация, нужно её устранять, по меньшей мере затыкать дырку, а не бегать с баночками в сэс.
Ведь какашки не только в колодец могут попасть.
А если у тебя все надежно на сервере, то достаточно плановых мероприятий, модерации той же. Чтобы случайно попавшее дерьмо удалять.
Если под колодцем дырявая канализация, нужно её устранять, по меньшей мере затыкать дырку, а не бегать с баночками в сэс.
Ведь какашки не только в колодец могут попасть.
А если у тебя все надежно на сервере, то достаточно плановых мероприятий, модерации той же. Чтобы случайно попавшее дерьмо удалять.
Спустя 1 день, 23 часа, 12 минут, 59 секунд (27.12.2010 - 09:54) linker написал(а):
twin
Когда я покупаю бутилированную воду, я смотрю на этикетку и выясняю, что это за вода. А еще я на каждом продукте в магазине смотрю состав, будь то колбаска, сосиски, салаты и прочее. Мы то, что мы едим и пьем. Пренебрегая безопасностью, ты пренебрегаешь здоровьем, а в данном случае репутацией.
Когда я покупаю бутилированную воду, я смотрю на этикетку и выясняю, что это за вода. А еще я на каждом продукте в магазине смотрю состав, будь то колбаска, сосиски, салаты и прочее. Мы то, что мы едим и пьем. Пренебрегая безопасностью, ты пренебрегаешь здоровьем, а в данном случае репутацией.