Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

GNU/Linux Üzerinde de Çalışabilen Güzel Bir PHP Editörü: QUANTA 3.1

sceylani

Merhaba,

Linux için güzel bir editör bulma calışmalarım sonunda meyvelerini verdi :

Ekran Görüntüsü

Evet yukarıdaki ekran görüntüsünden de anlaşılacağı gibi GNU/Linux ile ücretsiz bir editör kullanılarak sayfa çıktılarının anında görülmesi ve bir nevi hata ayıklama (debug) işlemi mümkün olabiliyor.

vty MySQL Yöneticisi 1.6 Çıktı

pieycpi2

Web üzerinden MySQL yönetimi sağlayan vty'nin 1.6 sürümü çıktı. vty tek sayfalık bir script ile üzerinden MySQL veritabanının yönetilmesine imkan sağlıyor. tek bir sayfa olduğu için kolaylıkla kurulabiliyor. Kolay ve kullanışlı yapısı ile de dikkat çekiyor. Şu an Türkçe, İngilizce ve İtalyanca dilleri mevcut.

İndirmek için için: http://www.kutukutu.com/vty/

Vty - Mysql ve Mssql için Php tabanlı Veritabanı Yönetici

pieycpi

Mysql ve Mssql'i web üzerinden yönetmek kullanacağınız Vty scriptinin kullanılabilir ilk versiyonu çıktı. Vty ile mysql ve mssql database'i üzerinde istediğiniz işlemi web tabanlı olarak yapabilirsiniz.
Vty hakkında daha fazla bilgi almak ve Vty'yi download etmek için: www.kutukutu.com/vty

Aklınızda bulunsun... (php 4.2 ve MySQL)

conan

Linux serverınızdaki php 4.1.X versiyonunu yenisiyle değiştirmek istiyorsunuz ve de 4.2.0'ı kurmak icin download ettiniz. unzip, configure, make, make install'dan sonra bütün mySQL database bağlantılarınızın çalışmadığını ve access problemleriniz olduğunuzu gördünüz. Aman tanrım! neler oluyor??!! diyorsanız işte cevabı:

PHPLiveX: Hafif ve Kolay PHP-Ajax Kütüphanesi

anonim

PHPLiveX diğer php-ajax kütüphanelerinin çoğunda olduğu gibi php fonksiyonlarınızı JavaScript ile çağırabilmenizi sağlıyor. Ancak PHPLiveX'in xajax ve sajax gibi kütüphanelerden farkı çok daha az kod yazarak ve daha basit bir şekilde kullanılabilmesi.