Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

vty MySQL Yöneticisi 1.6 Çıktı

pieycpi2

Web üzerinden MySQL yönetimi sağlayan vty'nin 1.6 sürümü çıktı. vty tek sayfalık bir script ile üzerinden MySQL veritabanının yönetilmesine imkan sağlıyor. tek bir sayfa olduğu için kolaylıkla kurulabiliyor. Kolay ve kullanışlı yapısı ile de dikkat çekiyor. Şu an Türkçe, İngilizce ve İtalyanca dilleri mevcut.

İndirmek için için: http://www.kutukutu.com/vty/

Eclipse ile PHP Debugging

anonim

Eclipse plugini PHPEclipse'nin kurulumu ve PHPEclipse ile PHP debugging üzerine bir makale yazdım.

Makale ile ilgili olumlu veya olumsuz görüşlerinizi bekliyorum: http://forum.int6.net/php_eclipse_debugging.pdf

PHP 4.1.0 sonunda hazır

anonim

Çıkacak, çıkıyor derken sonunda PHP'nin yeni sürümü 4.1.0 php.net sitesinden duyuruldu. Mesajı yolladığım şu sıralarda sitede yalnızca kaynak kodu bulunuyor, bu nedenle Windows binary kullanıcılarının biraz daha beklemesi gerekecek.

4.1.0 ile bir çok yeni özellik eklendiği belirtilmiş (henüz kullanma fırsatı bulamadım), bunların arasında beni en çok şaşırtan cümle şu oldu: "We want to thank Brett Brewer and his team in Microsoft for working with us to improve PHP for Windows."

PHP5, Zend ve soru işaretleri(m)

junkie

PHP5 ile ilgili dökümanlar çıktıkça meraklandım ve Beta versiyonları ile içine daldım. Ama içine girdikçe, daha fazla soru işareti kafamda yer bulmaya başladı. Özellikle Zend'in yaptığı anketin sonuçlarını açıklamasından sonra.

Acaba Zend PHP5 stratejisi ile ilgili hata mı yaptı? Ya da bu kadar köklü bir değişim böyle bir adımı mı beraberinde getirmeli? Bilemiyorum...

Aybulut Portal V.1.2

anonim

Aybulut Portal V.1.2

Aybulut Portal tamamen PHP ve MySQL tabanı üzerine kuruludur. Aybulut Portalda Neler mi var ?

Sınırsız Makale Kategorisi ve Makale Ekleyebilme

Haber,Download,Domain Sorgu,Link Ekleme,Mailist,Tavsiye etme özelikleri
Arama yapma,Takvim,Saat,Günün Sözü ve İletişim mevcuttur.
Değiştirilebilir arayüztemaları. (Tema Değiştirme Özl.)
En büyük özeligi tamamen türkçe olması ve türk yazılım olması.