uplouad souboru php

HackForum

uplouad souboru php#
Ahoj hele delam web v php + mysql a potrebuju tam dostat uplouad souboru a to neco co sem rozjel asi neni bezpecne muze tam kazdej uploudova co chce jak chce tak se chci zeptat jakych chyb se vyvarovat a jak a co osetrit pripadne jestli ma nekdo uz hotovej script na uplouad co pouziva jestli by ho mohl nekam nahrat.

Dekuji jstc
(odpovědět)
jstc | 88.102.5.*8.1.2012 0:45
re: uplouad souboru php#
a) kontrola mimetypu
b) kontrola pripony souboru (nezapomen, ze PHP muze byt treba i v souborech .php3 apod)
c) mozna pomuze pridat na konec souboru vlastni priponu (napriklad .txt / .jpg)

(odpovědět)
independent | E-mail8.1.2012 2:50
re: uplouad souboru php#
Dobře to shrnul například Emkei v tomto článku [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.1.2012 10:54
re: uplouad souboru php#
Jestli můžu doporučit, použij whitelist povolených přípon souborů. V Emkeiově článku to není zmíněno (nebo jsem to nezaregistroval při zběžném shlédnutí), ale nemá smysl se soustředit jen a pouze na potenciálně nebezpečné přípony souborů (.php, .phpx, .shtml atd.), protože útočník může uploadnout .htaccess, ve kterém si nadefinuje, aby byl zpracován jako PHP kód libovolný soubor s libovolnou příponou. Nejedná se sice o příliš rozšířenou techniku mezi skiddies, ale ostřílení útočníci ji mají v základním arzenálu ycela určitě.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website8.1.2012 11:45
re: uplouad souboru php#
dekuji za vsechny odpovedi tak snad to dostanu do bezpecneho stavu ;]
(odpovědět)
jstc | 88.102.5.*8.1.2012 11:59

Zpět
 
 
 

 
BBCode