Grafik içinden kod çalıştırma saldırılarıyla ilgili

Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IEnin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apachenin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

İlgili Yazılar

PHP4 Rafa Kalkıyor

sempsteen
14 Temmuz 2007, 1 dakika okuma süresi

Bugün php.net adresinde yapılan bildiri ile PHP4'ün 2008 yılından itibaren geliştirilmeyeceği açıklandı. Kritik güncelleştirmeler için ise son tarih 08-08-2008 olarak belirlenmiş.

Kim demiş PHP sadece WWW içindir diye?

SHiBuMi
4 Mart 2001, 1 dakika okuma süresi

Perl'ü sollayıp Apache'in en popüler modülü olmak ve dünyada 5 milyon domainde kullanılır hale ulaşmak PHP'yi kesmemiş olacak ki, PHP şimdi de masaüstü programcılığına el attı. GTK 2.0 desteği ile çalışacak olan PHP'nin masaüstü modülü şu an için 0.0.1 sürümü ile henüz bir bebek ama vaat ettikleriyle PHP programcılarına yepyeni kapılar açacak gibi gözüküyor.

MyObjects Php 5 - MySql Nesne Köprüsü 1.0 Beta 2 Yayınlandı

angeleous
4 Eylül 2004, 3 dakika okuma süresi

Aslen Zend'in PHP 5 programlama yarışması için geliştirdiğim ve BSD lisansıyla dağıtılan MyObjects PHP 5 kütüphanesi ve araçlarının beta 2 sürümü çıktı. İlk defa Fazlamesai.net'de duyurduğum bu araç kitinin özellikleri kısaca şöyle:

Program benim gibi web projelerinde PHP dilini kullanan ve PHP 5'in gelişmiş nesne modelinden faydalanarak MySQL veritabanındaki kayıtlarını nesneler aracilgiyla yönetmek/görüntülemek isteyen programcılar için geliştirildi. Programın tam olarak 'Object Persistance' ya da 'Object Relational Mapping' tanımlarına akademik olarak uyduğunu söyleyemem. Programı yalnızca program yazarken kendi ihtiyaç duyduğum niteliklerden yola çıkarak geliştirdim.

PHP ile Güvenlik Odaklı Programlama

FZ
15 Şubat 2005, 1 dakika okuma süresi

PHP Güvenlik Konsorsiyumu tarafından hazırlanmış olan PHP Security Guide, derli toplu şekilde PHP kullanan programcılara güvenlik odaklı programlamayı nasıl yapabileceklerini, dikkat edilmesi gereken şeyleri, saldırı yöntemlerini ve tedbirleri anlatıyor.

Nahoş sürprizlerle karşılaşmaktan hoşlanmayan programcıların başucu kaynaklarından biri olabilecek gibi görünen bu belge dileriz ilgili insanlar için faydalı olur, hatta Türkçeye çevrilse daha çok insan faydalanabilir.

PHP´nin Türkiye´deki evini ziyaret ettiniz mi?

anonim
21 Şubat 2001, 1 dakika okuma süresi

Yaklaşık bir seneden beri Türkiye'deki PHP kullanıcılarına Türkçe kaynak yaratmak ve hepsini tek bir çatı altında toplayıp bir topluluk oluşturmak amacıyla faaliyet gösteren Türkiye PHP Grubu, altyapısını son günlerin popüler ismi PHP-Nuke ile yenileyerek taze bir güç kazandı. Türkiye PHP Grubu olarak, özellikle serbest-kod hareketine sempati duyanları ve bu hareketin bir ucundan da kendileri tutmak isteyenleri sitemize katkıda bulunmaya davet ediyoruz.