Upload script totaal niet beveiligd

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Menno

menno

01/08/2008 22:53:00
Quote Anchor link
Beste PHPHelpers,

Ik heb gegoogled, en ik vind allemaal hele leuke upload scripts.
Nu heb ik alleen 1 probleem, ze zijn allemaal niet beveiligd tegen php upload.
Als iemand een bestand upload hack.php.jpg , en hij opent het plaatje, voert hij gewoon php uit.

Zo kan hij me config.php gewoon uitlezen :S
en nog veel meer erge dingen doen.
Dus is er een uploadscript die dit voorkomt?

Alvast hartelijk bedankt
Gewijzigd op 01/01/1970 01:00:00 door Menno
 
PHP hulp

PHP hulp

24/12/2024 14:36:57
 
Jan Koehoorn

Jan Koehoorn

01/08/2008 22:57:00
Quote Anchor link
Er zijn scripts waarmee je de headers van een bestand kunt uitlezen om te kijken of het echt een jpg is. Of je kijkt met getimagesize of je wel een hoogte en een breedte kunt opvragen.
 
Menno

menno

02/08/2008 00:00:00
Quote Anchor link
Dus als getimagesize geen afmetingen teruggeeft is het een fout bestand? :)

of zijn er weer uitzonderingen?
 
Jan Koehoorn

Jan Koehoorn

02/08/2008 00:04:00
Quote Anchor link
Het is een richtlijn. Waterdicht is het niet, net zoals mimetypes. Je zult echt in het bestand zelf moeten gaan wil je uitsluitsel hebben.
 
Menno

menno

02/08/2008 00:11:00
Quote Anchor link
ja maar hoe doen andere upload website's dat dan om het tegen te gaan?
Want het is nogal irritant :P
 
Jelmer -

Jelmer -

02/08/2008 00:50:00
Quote Anchor link
Als extra dekmantel kan je via htaccess ervoor zorgen dat PHP bestanden binnen je upload-mapje niet als PHP behandeld moeten worden (volgens mij via Add-Type wanneer je PHP via CGI gebruikt, en anders iets met SetHandler?)

Nu kan je ze nog wel uitvoeren wanneer PHP ze include, dus je site extra goed op dit soort dingen controleren. Zoek naar "include $_GET['page']" en varianten waar de gebruikers-input al dan niet indirect ongecontroleerd gebruikt wordt.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.