Wpis z mikrobloga

Skopiuj link

konto usunięte 30.11.2020, 14:40:10

Zabezpieczenie, żeby nikt mi przez formularz wysyłania plików nie zassał pliku np. .PHP zamiast pliku .STL ze złośliwym skryptem: czy wystarczy pobrać ostatnie 4 znaki z nazwy i sprawdzić czy jest to ".STL" wystarczy czy trzeba się jakoś bardziej zabezpieczać?
#php

LaylaTichy

30.11.2020, 14:41:58

@LuxEtClamabunt: mime type juz lepiej sprawdzac, niz extenstion, ale to, te gówno nie zabezpieczenie

L.....t

konto usunięte 30.11.2020, 14:49:27

@LaylaTichy: niby czemu gówno? przecież nie da się chyba odpalić innego pliku niż .php na serwerze jeśli mam domyślne ustawienia. co jeszcze "złego" może mi ktoś wysłać przez formularz plików?

nowiutki

30.11.2020, 14:59:36

@LuxEtClamabunt: https://medium.com/@igordata/php-running-jpg-as-php-or-how-to-prevent-execution-of-user-uploaded-files-6ff021897389

LaylaTichy

30.11.2020, 15:06:00 via Wykop Mobilny (Android)

@LuxEtClamabunt: no ale samo zmienienie file extension to 2 sek roboty, f2 i zmieniasz, mime type trochę więcej roboty ale też chwilka

8478e37fa256bd7240fe50b0cbf227d5

30.11.2020, 15:11:54

@LuxEtClamabunt: Twoje zabezpieczenie nie jest wystarczające, jest wiele wektorów ataku które atakujący może wykorzystać przy uploadzie plików, samo sprawdzanie rozszerzenia nie jest wystarczające:

https://stackoverflow.com/questions/38509334/full-secure-image-upload-script

powyżej jest trochę opisane, plus trzeba odpowiednio zabezpieczyć od strony serwera żeby uploadowane pliki nie były wykonywalne/interpretowane po uploadzie, albo wogóle trzymać pliki userów niezależnie od kodu app. https://stackoverflow.com/questions/5885643/prevent-execution-of-uploaded-php-files

żeby przejść audyty bezpieczeństwa / pentesty, trzeba też mieć odpowiedni file detector, i skaner antywirusowy podłączony pod upload,

L.....t

konto usunięte 30.11.2020, 15:34:12

no ale samo zmienienie file extension to 2 sek roboty

@LaylaTichy: ale jak zmieni niby mi ktoś rozszerzenie na serwerze? musiałby mieć dostęp do plików, po swojej stronie może se wszystko wpisywać a serwer i tak wykonuje po swojej stronie i apache jak jest na domyślnych ustawieniach to chyba nie ma prawa nic wykonać?
Szczerze mówiąc nie rozumiem ale zgłębię się w temat

L.....t

konto usunięte 30.11.2020, 15:38:57

powyżej jest trochę opisane, plus trzeba odpowiednio zabezpieczyć od strony serwera żeby uploadowane pliki nie były wykonywalne/interpretowane po uploadzie, albo wogóle trzymać pliki userów niezależnie od kodu app. https://stackoverflow.com/questions/5885643/prevent-execution-of-uploaded-php-files

@8478e37fa256bd7240fe50b0cbf227d5: ok czyli z tego co rozumiem, tworzę folder na pliki, w nim tworzę plik .htaccess w nim php_flag engine off
a w samym uploadzie stosuję kod z pierwszego linku który waliduje rozszerzenie pliku i to powinno wystarczyć/

Dzięki za pomoc i

8478e37fa256bd7240fe50b0cbf227d5

30.11.2020, 15:39:34

@LuxEtClamabunt: zapoznaj się z tym jak os rozpoznaje pliki, nie robi tego tylko po nazwie / rozszrzeniu ale też po mime type, dlatego to też się sprawdza.

mluca
konto usunięte

Aktywne Wpisy

Wykop24h

Wykop24h +1304

3 godz. i 56 min temu

Panowie wpis spadł z mikrobloga.

Ale pomysł był zacny i ja bym się na niego pisał, potrzebujemy kilku Mirków plus grupa na what's up i robimy to jedziemy na Krupówki kupujemy strój misia i wielki baner że zdjęcia za darmo.

Pomysł był taki żeby jechać na Krupówki w kilku/kilkunastu Mirków zabrać strój misia i robić zdjęcia za darmo cały dzień, a góralą by dupa pękła na pół i do tego potrzeba była