Hallo,
eben hab ich festgestellt, dass man 2, als *.jpg "getarnte",
PHP-Dateien über die Attachment Funktion eines
Kontaktformulars hochgeladen hat. Der php Inhalt war von der ganz bösen
Sorte. Gibt es eine Möglichkeit, sowas generell zu verhindern, ohne
die Upload Funktion nicht anzubieten? :-$
Präparierte *.jpg Dateien
Re: Präparierte *.jpg Dateien
Hallo,
das hängt davon ab, welche Dateien für den Upload erlaubt sind.
Wenn es nur Bilder sein dürfen, dann kannst du mit der PHP-Funktion "getimagesize" prüfen, ob gültige Daten geliefert werden und kannst damit Nicht-Bilder aussortieren.
Grüße
das hängt davon ab, welche Dateien für den Upload erlaubt sind.
Wenn es nur Bilder sein dürfen, dann kannst du mit der PHP-Funktion "getimagesize" prüfen, ob gültige Daten geliefert werden und kannst damit Nicht-Bilder aussortieren.
Grüße
Re: Präparierte *.jpg Dateien
Man muss auf mehreren Ebenen ansetzen, die Erste ist das Problem der mehrfachen Dateiendungen wie foobar.php.jpg und lässt sich bereits im Webserver abfangen, für Apache z.B. nach diesem Muster:
Die nächste Ebene ist im Input-Tag der HTML:
Und die letzte Ebene ist das Prüfen der hochgeladenen Files in der WebApp selbst.
Diese drei Elemente gemeinsam verhindern 99,8% der unerwünschten Uploads.
Code: Select all
### old
#AddHandler php5-script .php .phps
#AddHandler cgi-script .cgi .pl
### new
<FilesMatch "\.(php|phps)$">
SetHandler php5-script
</FilesMatch>
<FilesMatch "\.(cgi|pl)$">
SetHandler cgi-script
</FilesMatch>Code: Select all
<!-- old
<input type="file">
-->
<!-- new -->
<input type="file" accept="image/gif,imgage/png,image/jpeg">Diese drei Elemente gemeinsam verhindern 99,8% der unerwünschten Uploads.
Last edited by Joe User on 2012-03-19 12:14, edited 1 time in total.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Präparierte *.jpg Dateien
EDIT: Danke Joe :)
Last edited by adjustman on 2012-03-19 13:49, edited 1 time in total.
cu aM
Re: Präparierte *.jpg Dateien
Wenn Du auf der möglichst sicheren Seite sein willst, dann geht es nur so.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.