uplouad souboru php
HackForum
| Ahoj hele delam web v php + mysql a potrebuju tam dostat uplouad souboru a to neco co sem rozjel asi neni bezpecne muze tam kazdej uploudova co chce jak chce tak se chci zeptat jakych chyb se vyvarovat a jak a co osetrit pripadne jestli ma nekdo uz hotovej script na uplouad co pouziva jestli by ho mohl nekam nahrat.
Dekuji jstc
(odpovědět) | | jstc | 88.102.5.* | 8.1.2012 0:45 |
|
|
|
| a) kontrola mimetypu
b) kontrola pripony souboru (nezapomen, ze PHP muze byt treba i v souborech .php3 apod)
c) mozna pomuze pridat na konec souboru vlastni priponu (napriklad .txt / .jpg)
(odpovědět) | |
|
|
| Dobře to shrnul například Emkei v tomto článku [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| Jestli můžu doporučit, použij whitelist povolených přípon souborů. V Emkeiově článku to není zmíněno (nebo jsem to nezaregistroval při zběžném shlédnutí), ale nemá smysl se soustředit jen a pouze na potenciálně nebezpečné přípony souborů (.php, .phpx, .shtml atd.), protože útočník může uploadnout .htaccess, ve kterém si nadefinuje, aby byl zpracován jako PHP kód libovolný soubor s libovolnou příponou. Nejedná se sice o příliš rozšířenou techniku mezi skiddies, ale ostřílení útočníci ji mají v základním arzenálu ycela určitě.
----------
Sec-Cave.cz - [link]
(odpovědět) | |
|
|
| dekuji za vsechny odpovedi tak snad to dostanu do bezpecneho stavu ;]
(odpovědět) | | jstc | 88.102.5.* | 8.1.2012 11:59 |
|
|
|
