Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

DCP Portal 7 yayınlandı

deathline

Daha önce 7.0 Beta sürümünü duyurduğumuz DCP Portal 7 versiyonu yayınlandı. Detaylı bilgi ve kurulum dosyaları için aşağıdaki adresleri kullanabilirsiniz

PHP 5.2.1 Çıktı

Onur_Yerlikaya

PHP'de hareketlenmelerin ardından PHP Geliştirici takımı 5.2.1 versiyonunu bugün yayınladı. PHP 5.2.1'de bir çok güvenlik güncellemesi var ve şiddetle öneriyorlar geçmemiz için. Hafıza limiti başta açılmış durumda geliyor artık. str_replace() fonksiyonundaki olabilecek overflow hatası da giderilmiş. Genelde baktığımda bir çok overflow hatası gördüğüm değişiklikler var. Daha fazla ayrıntı isteyenler buraya tıklasın.

Türkçe wiki motoru Wikepage 2005.4 çıktı.

fox

Wikepage, wiki siteleri / kişisel / iş sitelerini veritabansız, çokludilde, banner desteği ile yapabilen sadece 27Kb'lık bir PHP kodu. Yeni sürümün özelleri arasında: Wikispam önleme amaçlı nofollow linkler, tema desteği, optimize kod, yeni dizin yapısı, tek dosya i18n desteği, yeni tema gösterilebilir. Ayrıntılı bilgi ve demo site Wikepage internet sitesinde.

Symfony Projesinin Takım Kaptanı Fabien Potencier ile Röportaj

xYroN

php|architect ‘in php-podcast sitesinde Marcus Whitney tarafından yapılmış bir röportaja rastladım. Röportajdan Symfony ile ilgili pekçok bilgiyi almak ve geliştirici gözünden projeye bakışı değerlendirmek mümkün. Aşağıdaki linklerden dokümana ulaşabilirsiniz.

http://podcast.phparch.com/podcast/audio/20060210.mp3

Artık Türk Yapımı Bir Forumumuz Var

anonim

Evet artık bizimde kendimize özgü bir forumumuz var. Forumun Adı phpKF (php Kolay Forum). Yapan arkadaş, forumu 6 ayda yaptığını yazmış ve tamamen ücretsiz olarak kaynağını da açmış.