Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Php Yumurtası

cbc

Uzun süredir kullanılan PHP'nin sürpriz yumurtası ortaya çıktı:

Bir örnegi için:
http://fazlamesai.net/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Editörün Notu: Bu yumurtaya karşılık tabağı boş yollamıyoruz ve bir de şu yumurtaya göz atın diyoruz ;-)

Dünyanın en büyük web sitesi Yahoo!, altyapısını geliştirmek için PHP`ye dönüyor

larweda

www.yahoo.com altında bilinen, internet adına yapılabilecek her türlü içeriği sunan bir web ortamı olan Yahoo!, yıllardır C/C++ ile geliştirilen altyapısını C/C++ ile geliştirmeye devam etmekten vazgeçip, bundan sonraki geliştirmelerini PHP ile yapmaya karar verdiğini duyurdu. (Bunu da Slashdot`tan duydum :-)

Yahoo'nun yüksek (yüksek dediysem, zurnanın sondan kaçıncı deliği olması babında yüksek diyorum :) mühendislerinden biri olan Michael J. Radwin, PHP Con 2002`de yaptığı bir sunumla niçin PHP'yi seçtiklerini, ve bu seçimi yaparken ne aşamalardan geçtiklerini açıklamış.

Wikepage 2005.3 Wiki Motoru

anonim

Türk GPL sitesi cyrocom'un eski wiksis'i yeni adıyla wikepage bu yılki 3. sürümü olan 2005.3'ü çıkardı. Optimize olan kodu ile wikepage, wiki siteleri / kişisel / iş sitelerini veritabansız, çokludilde, banner desteği ile yapabilen sadece 25Kb'lık bir PHP kodu. Son sürümü buradan deneyebilir ve buradan indirebilirsiniz. Ayrıntılı bilgi cyrocom Internet sitesinde.

linux üzerindeki php ile mssql 2000(veya 7.0 veya 6.5...)e bağlanmak istersek

roots

İlla da MySQL kullanacak değilsiniz ya, roots kardeşimiz bize PHP connectivity konusunda bir tecrübesini aktarmış.

Allah oldurmasın ama bir gün icap ederde başınız sıkışırsa ve siz mssql 2000'e linux üzerinde çalışan bir webserverdan php ile bağlanmak zorunda kalırsanız aşağıdakiler sanırım işinize yarayacaktır.

http://www.freetds.com'dan güncel tds sürümünü çekelim. RPM çekebilirsiniz kolay çözüm olarak. Ben tgz olarak indirdim ve...

Yeni içerik yönetimi programı DCP-Portal

anonim

PHP-Nuke türü içerik yönetimi programlarına bir yenisi daha eklendi. Bir siteyi baştan aşağı gereksiz ayrıntılarla uğraşmanıza gerek kalmadan kurmanıza ve güncellemenize olanak sağlayan bu tür programlar zaten çok az sayıda bulunuyor. dotcom-Projects sahibi Serhan D. Kıymaz tarafından geliştirilen DCP-Portal size bir içerik yönetimi programından beklediğiniz her şeyi sunuyor. Tamamen PHP ve mySQL tabanlı olan DCP-Portal'nin özelliklerinden bazıları şöyle: