Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

PHP`nin son marifeti: Executable PHP!

SHiBuMi

Birkaç hafta önce PHP-GTK ile PHP`nin yepyeni bir şekil almaya başladığını yazmıştım. Çok geçmeden ikinci bomba da düştü: Artık PHP kodlarınızı Windows altında çalıştırılabilir (exe) dosyalara dönüştürebileceksiniz. Bu özellik GTK eklentisi ile birleştiğinde PHP kullanıcıları artık gerçek GUI uygulamaları yaratmaya başlayabilecekler. Bu da PHP'nin bir script dili olmaktan çıkmaya başladığının ve giderek komple bir programlama dili olduğunun en bariz örneklerinden bir tanesi. Şu anda Linux için böyle bir imkan yok ancak open-source olan projenin Linux altında da hayata geçirilmesi için şimdiden dünya çapında kollar sıvanmış. Bu haberle ilgili daha fazla bilgi almak için www.deskcode.com/phpcompiler adresini ziyaret edebilirsiniz.

PHP başlangıç dersleri serisi 2

anonim

Bir süredir php ders dökümanlarının ikinci serisini hazırlamaya çalışıyordum. Hem talebin artması nedeniyle hem de dosyanın boyutunu fazla yükseltmemek adına aşağıdaki 3 temel döküman ile yeni seriyi tamamlamak istedim:

PHP´nin Türkiye´deki evini ziyaret ettiniz mi?

anonim

Yaklaşık bir seneden beri Türkiye'deki PHP kullanıcılarına Türkçe kaynak yaratmak ve hepsini tek bir çatı altında toplayıp bir topluluk oluşturmak amacıyla faaliyet gösteren Türkiye PHP Grubu, altyapısını son günlerin popüler ismi PHP-Nuke ile yenileyerek taze bir güç kazandı. Türkiye PHP Grubu olarak, özellikle serbest-kod hareketine sempati duyanları ve bu hareketin bir ucundan da kendileri tutmak isteyenleri sitemize katkıda bulunmaya davet ediyoruz.

Extreme Programming & PHP

SHiBuMi

Extreme Programming, bir anlamda geleneksel yazılım geliştirme metodolojilerine tepki olarak ortaya çıkmış, kodlamayı ön planda tutan, planların her zaman değişikliğe uğramaya mahkum oldukları tecrübesinden yola çıkarak, kodlama ile planlamayı sistem bütünlüğünü tehlikeye atmadan bir arada yürütmeyi hedefleyen bir yazılım geliştirme metodudur. İlk başlarda Smalltalk ile geliştirilen projelerde uygulanmaya başlanmış ve başarı kazanmış bu sistem, bütün programlama dilleri ile uygulanabilir, özellikle günümüzde daha hızlı kod yazımına imkan sağlayan scripting dilleri ile güzel sonuçlar elde edilebilir.

Aybulut Portal V.1.2

anonim

Aybulut Portal V.1.2

Aybulut Portal tamamen PHP ve MySQL tabanı üzerine kuruludur. Aybulut Portalda Neler mi var ?

Sınırsız Makale Kategorisi ve Makale Ekleyebilme

Haber,Download,Domain Sorgu,Link Ekleme,Mailist,Tavsiye etme özelikleri
Arama yapma,Takvim,Saat,Günün Sözü ve İletişim mevcuttur.
Değiştirilebilir arayüztemaları. (Tema Değiştirme Özl.)
En büyük özeligi tamamen türkçe olması ve türk yazılım olması.