[X] Помощник

[Easy-Web]

Файлы неизвестных типов можно проверять регулярными выражениями на наличие текстовых фрагментов типа <?php, javascript и т. п.

Сообщение отредактировал Zzzhan - 2010-02-16, 20:17

[Youshi]

Имеешь ввиду при закачке JPG файла проверять "внутренности" файла и определять реально ли это JPG? - можно. Пример есть какой-нибудь? Только что делать с текстовыми файлами, с файлами неизвестных типов и т.п.

Да. Что-то вроде того. Большинство типов файлов несут информацию о себе в самом начале файла - несоклько первых байт. Достаточно читать их и сравнивать с эталоном.
От подлога это, конечно, не защитит, но немного облегчит жизнь простым смертным.
А с файлами неизвестных типов никак не поступать. Пусть заливают (оставить на совести админа, разрешать заливать или нет). Хотя если будет разрешена загрузка всего подряд, то смысла в проверках вообще нет.
Но при этом не забыть про возможность переименования на сервере и, как я уже писал выше, тупо запретить доступ к определенным типам файлов.

яквадратыч

о_О

Файлы неизвестных типов можно проверять регулярными выражениями на наличие текстовых фрагментов типа <?php, javascript и т. п.

Для файлов небольшого размера это вполне целесообразно... но если файлик весит метров 10, PCRE проклянет тебя )))))
да и подобные вещи можно обычными строковыми функциями искать...

[Alexander]

Проверка неизвестных файлов на <?php и т.п. ничего не даст. Да и не умно это как-то.
Переименование - исправлено уже.

[Youshi]

Проверка неизвестных файлов на <?php и т.п. ничего не даст. Да и не умно это как-то.

Да ну?
А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере...

Да и не умно это как-то.

Странное утверждение. А как умно?

Да. И еще. Запрети юзерам создавать в папках файлы .htaccess. Любыми путями!

А то так можно допереименовываться....

[Easy-Web]

Да ну?
А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере...

Саша я же говорю что запускаются скрипты!!! Еще как запускаются!
Надо обязательно проверить на других хостингах, излишняя самоувереность сами знаете... Я на своей самоуверенности не раз обжигался в тех средах (не php), где программирую уже лет пятнадцать
А насчет "текстовых фрагментов типа <?php, javascript и т. п." это как раз таки практически единственное что приказывает серверу воспринимать этот файл как скрипт, и строки с кодом как команды

Сообщение отредактировал Zzzhan - 2010-02-17, 18:44

[Alexander]

А я вот подсовывал php-код в картинки, который потом прекрасно отрабатывал на сервере...

Если сервер обрабатывает php код в картинках то это... админу уже руки отрывать надо.

Странное утверждение. А как умно?

Нет, утверждение не странное. Любое действие должно иметь свой мотив и свою цель. Ну вот допустим обнаружили мы внутри файла строку "<?php" (это, кстати, не единственный возможный вариант задать начало php скрипта) - и что дальше? Ведь наличие этой строки никак не характеризует этот файл - а вдруг там и не php код совсем, а какая-нибудь документация, или, что еще более вероятно символы просто совпали. Я уже молчу, что такой метод не спасет, если файл под зендом. Другими словами, коефицеинт полезности данного действия стремится к нулю.

Да. И еще. Запрети юзерам создавать в папках файлы .htaccess. Любыми путями!

Ок.

[Youshi]

Если сервер обрабатывает php код в картинках то это... админу уже руки отрывать надо.

В данном случае вопрос стоит о переименовании после загрузки в удобоваримый для парсера тип файла.
Но это ты уже пофиксил, так что вопрос частично отпадает.

а вдруг там и не php код совсем, а какая-нибудь документация, или, что еще более вероятно символы просто совпали

Zip/tar/gzip вам в помощь... ну не хранят документацию в открытом виде. А если хранят, то у нее есть понятный веб-интерфейс.

Я уже молчу, что такой метод не спасет, если файл под зендом

Зенд, как и другие бинарные файлы, можно распознать по сигнатуре.

[Alexander]

ну не хранят документацию в открытом виде.

Я храню.

Зенд, как и другие бинарные файлы, можно распознать по сигнатуре.

Это ж сколько придется проверок сделать? Да и что это даст в конечном итоге? Ну, допустим, информируем мы пользователя о том, что загружаемый файл является бинарным - что толку?

[Youshi]

Я храню.

Ну храни... я высказал свое мнение. Как поступить, решать тебе.

Это ж сколько придется проверок сделать? Да и что это даст в конечном итоге? Ну, допустим, информируем мы пользователя о том, что загружаемый файл является бинарным - что толку?

Один файл - одна проверка. Проверяешь расширение, его соответствие сигнатуре и если сигнатура не допускает в содержимом тег <?php например, то проверяем и его наличие. Расширение разрешено и соответствует сигнатуре, и в файле нет запрещенных строк - пропускаем. Иначе - не пропускаем.
Если загружается файл неизвестного типа - тогда да. Уже надо делать несколько различных последовательных проверок.

Я не говорю, что это панацея. Это лишь дополнительная мера безопасности. А применять ее или нет, пусть каждый для себя решает сам.

[Alexander]

Хорошо. С известными типами - ясно. Что делать с неизвестными типами?

[Youshi]

А что антивирус делает с неизвестными вирусами?
Он проверяет их по базе известных сигнатур вредоносных программ...


ЗЫ
У данного метода есть одно серьезное ограничение - размер файла. Если юзер решит залить файлик метров в 10, то парсить его на наличие в нем каких-то строк - тот еще гемор (хотя для проверки сигнатур опять же никаких препятствий. достаточно прочитать определенное количество первых байт файла)... Тут решение на совести админа - либо разрешить загрузку каких-то типоразмеров файлов, либо не разрешать...

ЗЫ ЗЫ
Да вообще можно много огородов нагородить. Но я считаю единственно верным решением жесткое ограничение по типу файлов (тупо по расширению и запрет на переименование в любой из не разрешенных типов)

Вот так....

[Alexander]

Youshi, пойми, мы не можем определить вредоносность файла. Никак. Если в txt файле встретится участок <?php - это никак не характеризует этот файл, т.е. невозможно определить степень вредоносности файла.

Метод, на проверку сингнатур - не имеет смысла, ИМХО, потому как не спасет от атак. Сейчас можно грузить только файлы определенного типа + запрещено переименование файла в тип, которого нет в списке разрешенных. Пока должно хватить (на первых порах).

[user]

Как отключить функцию у загрузчика , переименовывает загруженые файлы в php. Где посмотреть разрешоные для загрузки типы.

[Alexander]

user, что-то не очень Вас понял... Объясните подробнее.

[user]

Отключить менеджер загрузок можно в настройках модуля.Снять галочку с "разрешить загрузку файлов на сервер".
Вопрос собствено.
Почему всртоеный менеджер загрузок можно использовать для заливки любых файлов с любым разрешением.
P.S.
Сейчас сайт отключил хостер. Ничего не менял в системе.

Уважаемый Клиент!
Согласно наших Правил: http://www.slavhost.ru/policies.php ,
пользователям хостинга не разрешается пиковое использование
процессами ресурсов сервера, более чем предусмотрено хостинг
планом. Нагрузка Вашего аккаунта составляет:

avtolangepas.ru CPU: 70.60%, Mem: 77.50%, MySQL: 118.0%

Мы вынуждены временно блокировать сайты аккаунта.
Включение выполнится автоматически в 00:35 05.03.2010

Примите меры по оптимизации вашего сайта, у вас сохранился доступ
через cPanel и FTP.

По вопросам нагрузки обращайтесь в отдел технической поддержки:
http://support.ruskyhost.ru/index.php?_m=t...s&_a=submit


Администрация SlavHost.RU

[termit]

А причём здесь загрущик?
Да и не может сайт сам по себе создавать такую нагрузку.
Это ДДОС... ищите ответы в других темах....