X   Сообщение сайта
(Сообщение закроется через 2 секунды)

Здравствуйте, гость ( Вход | Регистрация )

2 страниц Открыть меню  < 1 2  
Ответить в данную темуНачать новую тему
> Uploader и безопасность
Easy-Web
сообщение 2010-02-16, 20:17
Сообщение #21
Любитель
Иконка группы

Группа: Eleanor user
Сообщений: 132
Регистрация: 2009-08-17
Из: Алма-ата, Казахстан

Репутация:   нет  
Всего: 1


Файлы неизвестных типов можно проверять регулярными выражениями на наличие текстовых фрагментов типа <?php, javascript и т. п.

Сообщение отредактировал Zzzhan - 2010-02-16, 20:17
Перейти в начало страницы
+Цитировать сообщение
Youshi
сообщение 2010-02-16, 21:14
Сообщение #22
Любитель
Иконка группы

Группа: Разработчики
Сообщений: 118
Регистрация: 2008-12-14
Из: Россия. Астрахань

Репутация:   нет  
Всего: 8


Цитата (Alexander @ 2010-02-16, 18:57)
Имеешь ввиду при закачке JPG файла проверять "внутренности" файла и определять реально ли это JPG? - можно. Пример есть какой-нибудь? Только что делать с текстовыми файлами, с файлами неизвестных типов и т.п.


Да. Что-то вроде того. Большинство типов файлов несут информацию о себе в самом начале файла - несоклько первых байт. Достаточно читать их и сравнивать с эталоном.
От подлога это, конечно, не защитит, но немного облегчит жизнь простым смертным.
А с файлами неизвестных типов никак не поступать. Пусть заливают (оставить на совести админа, разрешать заливать или нет). Хотя если будет разрешена загрузка всего подряд, то смысла в проверках вообще нет.
Но при этом не забыть про возможность переименования на сервере и, как я уже писал выше, тупо запретить доступ к определенным типам файлов.

Цитата (karbon @ 2010-02-16, 20:57)
яквадратыч


о_О

Цитата (Zzzhan @ 2010-02-16, 20:17)
Файлы неизвестных типов можно проверять регулярными выражениями на наличие текстовых фрагментов типа <?php, javascript и т. п.


Для файлов небольшого размера это вполне целесообразно... но если файлик весит метров 10, PCRE проклянет тебя )))))
да и подобные вещи можно обычными строковыми функциями искать...
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-16, 21:15
Сообщение #23
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


Проверка неизвестных файлов на <?php и т.п. ничего не даст. Да и не умно это как-то.
Переименование - исправлено уже.
Перейти в начало страницы
+Цитировать сообщение
Youshi
сообщение 2010-02-17, 0:24
Сообщение #24
Любитель
Иконка группы

Группа: Разработчики
Сообщений: 118
Регистрация: 2008-12-14
Из: Россия. Астрахань

Репутация:   нет  
Всего: 8


Цитата (Alexander @ 2010-02-16, 21:15)
Проверка неизвестных файлов на <?php и т.п. ничего не даст. Да и не умно это как-то.


Да ну?
А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере... ;)


Цитата (Alexander @ 2010-02-16, 21:15)
Да и не умно это как-то.


Странное утверждение. А как умно?

Да. И еще. Запрети юзерам создавать в папках файлы .htaccess. Любыми путями!

А то так можно допереименовываться.... ;)
Перейти в начало страницы
+Цитировать сообщение
Easy-Web
сообщение 2010-02-17, 18:37
Сообщение #25
Любитель
Иконка группы

Группа: Eleanor user
Сообщений: 132
Регистрация: 2009-08-17
Из: Алма-ата, Казахстан

Репутация:   нет  
Всего: 1


Цитата (Youshi @ 2010-02-17, 3:24)
Да ну?
А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере... ;)

Саша я же говорю что запускаются скрипты!!! Еще как запускаются!
Надо обязательно проверить на других хостингах, излишняя самоувереность сами знаете... Я на своей самоуверенности не раз обжигался в тех средах (не php), где программирую уже лет пятнадцать
А насчет "текстовых фрагментов типа <?php, javascript и т. п." это как раз таки практически единственное что приказывает серверу воспринимать этот файл как скрипт, и строки с кодом как команды

Сообщение отредактировал Zzzhan - 2010-02-17, 18:44
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-17, 19:40
Сообщение #26
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


Цитата (Youshi @ 2010-02-16, 23:24)
А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере...

Если сервер обрабатывает php код в картинках то это... админу уже руки отрывать надо.

Цитата (Youshi @ 2010-02-16, 23:24)
Странное утверждение. А как умно?

Нет, утверждение не странное. Любое действие должно иметь свой мотив и свою цель. Ну вот допустим обнаружили мы внутри файла строку "<?php" (это, кстати, не единственный возможный вариант задать начало php скрипта) - и что дальше? Ведь наличие этой строки никак не характеризует этот файл - а вдруг там и не php код совсем, а какая-нибудь документация, или, что еще более вероятно символы просто совпали. Я уже молчу, что такой метод не спасет, если файл под зендом. Другими словами, коефицеинт полезности данного действия стремится к нулю.

Цитата (Youshi @ 2010-02-16, 23:24)
Да. И еще. Запрети юзерам создавать в папках файлы .htaccess. Любыми путями!

Ок.
Перейти в начало страницы
+Цитировать сообщение
Youshi
сообщение 2010-02-18, 11:44
Сообщение #27
Любитель
Иконка группы

Группа: Разработчики
Сообщений: 118
Регистрация: 2008-12-14
Из: Россия. Астрахань

Репутация:   нет  
Всего: 8


Цитата (Alexander @ 2010-02-17, 19:40)
Если сервер обрабатывает php код в картинках то это... админу уже руки отрывать надо.


В данном случае вопрос стоит о переименовании после загрузки в удобоваримый для парсера тип файла.
Но это ты уже пофиксил, так что вопрос частично отпадает.

Цитата (Alexander @ 2010-02-17, 19:40)
а вдруг там и не php код совсем, а какая-нибудь документация, или, что еще более вероятно символы просто совпали

Zip/tar/gzip вам в помощь... ну не хранят документацию в открытом виде. А если хранят, то у нее есть понятный веб-интерфейс.

Цитата (Alexander @ 2010-02-17, 19:40)
Я уже молчу, что такой метод не спасет, если файл под зендом

Зенд, как и другие бинарные файлы, можно распознать по сигнатуре.
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-18, 19:19
Сообщение #28
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


Цитата (Youshi @ 2010-02-18, 10:44)
ну не хранят документацию в открытом виде.

Я храню.

Цитата (Youshi @ 2010-02-18, 10:44)
Зенд, как и другие бинарные файлы, можно распознать по сигнатуре.

Это ж сколько придется проверок сделать? Да и что это даст в конечном итоге? Ну, допустим, информируем мы пользователя о том, что загружаемый файл является бинарным - что толку?
Перейти в начало страницы
+Цитировать сообщение
Youshi
сообщение 2010-02-18, 19:42
Сообщение #29
Любитель
Иконка группы

Группа: Разработчики
Сообщений: 118
Регистрация: 2008-12-14
Из: Россия. Астрахань

Репутация:   нет  
Всего: 8


Цитата (Alexander @ 2010-02-18, 19:19)
Я храню.


Ну храни... я высказал свое мнение. Как поступить, решать тебе.

Цитата (Alexander @ 2010-02-18, 19:19)
Это ж сколько придется проверок сделать? Да и что это даст в конечном итоге? Ну, допустим, информируем мы пользователя о том, что загружаемый файл является бинарным - что толку?

Один файл - одна проверка. Проверяешь расширение, его соответствие сигнатуре и если сигнатура не допускает в содержимом тег <?php например, то проверяем и его наличие. Расширение разрешено и соответствует сигнатуре, и в файле нет запрещенных строк - пропускаем. Иначе - не пропускаем.
Если загружается файл неизвестного типа - тогда да. Уже надо делать несколько различных последовательных проверок.

Я не говорю, что это панацея. Это лишь дополнительная мера безопасности. А применять ее или нет, пусть каждый для себя решает сам.
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-18, 23:09
Сообщение #30
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


Хорошо. С известными типами - ясно. Что делать с неизвестными типами?
Перейти в начало страницы
+Цитировать сообщение
Youshi
сообщение 2010-02-18, 23:16
Сообщение #31
Любитель
Иконка группы

Группа: Разработчики
Сообщений: 118
Регистрация: 2008-12-14
Из: Россия. Астрахань

Репутация:   нет  
Всего: 8


А что антивирус делает с неизвестными вирусами?
Он проверяет их по базе известных сигнатур вредоносных программ...


ЗЫ
У данного метода есть одно серьезное ограничение - размер файла. Если юзер решит залить файлик метров в 10, то парсить его на наличие в нем каких-то строк - тот еще гемор (хотя для проверки сигнатур опять же никаких препятствий. достаточно прочитать определенное количество первых байт файла)... Тут решение на совести админа - либо разрешить загрузку каких-то типоразмеров файлов, либо не разрешать...

ЗЫ ЗЫ
Да вообще можно много огородов нагородить. Но я считаю единственно верным решением жесткое ограничение по типу файлов (тупо по расширению и запрет на переименование в любой из не разрешенных типов)

Вот так....
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-19, 0:19
Сообщение #32
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


Youshi, пойми, мы не можем определить вредоносность файла. Никак. Если в txt файле встретится участок <?php - это никак не характеризует этот файл, т.е. невозможно определить степень вредоносности файла.

Метод, на проверку сингнатур - не имеет смысла, ИМХО, потому как не спасет от атак. Сейчас можно грузить только файлы определенного типа + запрещено переименование файла в тип, которого нет в списке разрешенных. Пока должно хватить (на первых порах).
Перейти в начало страницы
+Цитировать сообщение
user
сообщение 2010-02-27, 15:15
Сообщение #33
Новичок
Иконка группы

Группа: Eleanor user
Сообщений: 50
Регистрация: 2010-01-12
Версия системы: RC5

Репутация:   нет  
Всего: 1


Как отключить функцию у загрузчика , переименовывает загруженые файлы в php. Где посмотреть разрешоные для загрузки типы.
Перейти в начало страницы
+Цитировать сообщение
Alexander
сообщение 2010-02-28, 4:04
Сообщение #34
Eleanor developer
Иконка группы

Группа: Администраторы
Сообщений: 5 261
Регистрация: 2008-11-11
Из: Николаев
Версия системы: RC5

Репутация:   нет  
Всего: 67


user, что-то не очень Вас понял... Объясните подробнее.
Перейти в начало страницы
+Цитировать сообщение
user
сообщение 2010-03-05, 2:48
Сообщение #35
Новичок
Иконка группы

Группа: Eleanor user
Сообщений: 50
Регистрация: 2010-01-12
Версия системы: RC5

Репутация:   нет  
Всего: 1


Отключить менеджер загрузок можно в настройках модуля.Снять галочку с "разрешить загрузку файлов на сервер".
Вопрос собствено.
Почему всртоеный менеджер загрузок можно использовать для заливки любых файлов с любым разрешением.
P.S.
Сейчас сайт отключил хостер. Ничего не менял в системе.
Цитата
Уважаемый Клиент!
Согласно наших Правил: http://www.slavhost.ru/policies.php ,
пользователям хостинга не разрешается пиковое использование
процессами ресурсов сервера, более чем предусмотрено хостинг
планом. Нагрузка Вашего аккаунта составляет:

avtolangepas.ru CPU: 70.60%, Mem: 77.50%, MySQL: 118.0%

Мы вынуждены временно блокировать сайты аккаунта.
Включение выполнится автоматически в 00:35 05.03.2010

Примите меры по оптимизации вашего сайта, у вас сохранился доступ
через cPanel и FTP.

По вопросам нагрузки обращайтесь в отдел технической поддержки:
http://support.ruskyhost.ru/index.php?_m=t...s&_a=submit


Администрация SlavHost.RU
Перейти в начало страницы
+Цитировать сообщение
termit
сообщение 2010-03-05, 3:40
Сообщение #36
Опытный
Иконка группы

Группа: Бета-тестеры
Сообщений: 705
Регистрация: 2009-06-02
Из: Житомир

Репутация:   нет  
Всего: 11


А причём здесь загрущик?
Да и не может сайт сам по себе создавать такую нагрузку.
Это ДДОС... ищите ответы в других темах....
Перейти в начало страницы
+Цитировать сообщение

2 страниц Открыть меню  < 1 2
Ответить в данную темуНачать новую тему
0 чел. читают эту тему (гостей: 0, скрытых пользователей: 0)
Пользователей: 0

 
RSS Текстовая версия 0.0525 сек.    11 запросов    GZIP включен    Сейчас: 2020-10-27, 6:34