Наконец таки допилил фотохостинг.
Как то раз обнаружил на сервере переполнение памяти, не мог понять в чем дело, но потом все таки сообразил, что кто то постарался. Переписал код загрузки изображения, структурировал, в общем сделал по человечески. Сервер вроде настроен нормально, левые порты закрыты.
После загрузки, изображение проходит антивирусную проверку, потом лимиты и после чего обрабатывается IMagick.
Вопрос такой. Не совсем понял что такое эксплойт, но... Возможно ли его встроить в изображение, после чего загрузив на сервер (через форму загрузки) и получить доступ к системе или того хуже, заменить нормальные изображения какой нить порнографией, как это произошло с fastpic? Если да, то как можно защититься от него?
И что еще можно предпринять в защите?
Как то страшно начинать его раскручивать не уверенным в его защите.
Использую Yii framework
Спустя 23 минуты, 51 секунда (15.08.2011 - 13:23) Invis1ble написал(а):
| Цитата |
| Возможно ли его встроить в изображение |
да
| Цитата |
| как можно защититься |
100 %-ной защиты думаю не существует, но если ты сканишь антивирусом, то по идее это значительно снижает риски
Спустя 3 часа, 39 минут, 9 секунд (15.08.2011 - 17:02) DySprozin написал(а):
EvilDev
;;Возможно ли его встроить в изображение
возможно, но:
а) для этого хакеру нужно _точно_ знать твою версию ImageMagick
б) взлом требует хороших знаний как ассемблера, так и ОС, на которой у тебя крутится сервер - НАСТОЛЬКО сильно ты врядли кому понадобишься (;
способы защиты:
во-первых, как можно чаще обновлять ImageMagick (причем не брезговать проверять md5 хэш скачанного файла - всякое может быть)
во-вторых (и это обеспечит защиту, стремящуюся к 100%) - не качай бинарники ImageMagick, а компилируй самостоятельно, из исходных кодов. Да, придется не один день (а может, не одну неделю) покурить мануалы, но собственная сборка отличается тем, что хакер, не имеея ее на руках, максимум сможет вызвать какую-то ошибку, которую кстати наверняка засечет антивирь, но выполнить произвольный код с проникновением он не сможет (а сборку твою на руках он иметь не может - доступ к серваку-то закрыт).
вообще смотри п. "б" выше, но если не будешь следовать последним двум способам защиты, то антивирус тебя не спасет (;
;;Возможно ли его встроить в изображение
возможно, но:
а) для этого хакеру нужно _точно_ знать твою версию ImageMagick
б) взлом требует хороших знаний как ассемблера, так и ОС, на которой у тебя крутится сервер - НАСТОЛЬКО сильно ты врядли кому понадобишься (;
способы защиты:
во-первых, как можно чаще обновлять ImageMagick (причем не брезговать проверять md5 хэш скачанного файла - всякое может быть)
во-вторых (и это обеспечит защиту, стремящуюся к 100%) - не качай бинарники ImageMagick, а компилируй самостоятельно, из исходных кодов. Да, придется не один день (а может, не одну неделю) покурить мануалы, но собственная сборка отличается тем, что хакер, не имеея ее на руках, максимум сможет вызвать какую-то ошибку, которую кстати наверняка засечет антивирь, но выполнить произвольный код с проникновением он не сможет (а сборку твою на руках он иметь не может - доступ к серваку-то закрыт).
вообще смотри п. "б" выше, но если не будешь следовать последним двум способам защиты, то антивирус тебя не спасет (;
_____________
HTML5, CSS3, jQuery, Node.js, PHP, Yii, Joomla, MySQL, MongoDb, GIMP