Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

PHP ile COM Port Kullanarak Haberleşme

FZ

Türkiye PHP Grubu'ndan Nurettin Sezer'in İzmir Dokuz Eylül Üniversitesi DESEM 'de verilen ücretsiz seminerde bahsettiği konuyla ilgili detaylara buradan erişmek mümkün.

Wikepage 2005.3 Wiki Motoru

anonim

Türk GPL sitesi cyrocom'un eski wiksis'i yeni adıyla wikepage bu yılki 3. sürümü olan 2005.3'ü çıkardı. Optimize olan kodu ile wikepage, wiki siteleri / kişisel / iş sitelerini veritabansız, çokludilde, banner desteği ile yapabilen sadece 25Kb'lık bir PHP kodu. Son sürümü buradan deneyebilir ve buradan indirebilirsiniz. Ayrıntılı bilgi cyrocom Internet sitesinde.

Açık Kaynak Kodlu İçerik Yönetim Sistemlerini Online Görün

anonim

Açık Kaynak Kodlu İçerik Yönetim Sistemlerini indirip yüklemeden Online olarak görüp denemek isteyenler için www.opensourcecms.com sitesi biçilmiş kaftan.. Ayrıca akademisyenlere CMS - e-Learning başlığında Moodle sistemini incelemelerini şiddetle tavsiye ederim. Online ders sistesi hazırlamak gerçekten çok kolay...
www.cmsinfo.org/article.php3?story_id=98 adresinde de güzel bir tartışma var.

Not: İşin açıkçası windows'da çalışan basit bir İçerik Yönetim Sistemi arıyorum. Blog tarzında bir sistemde olsa yeterli olur.
Kişisel kullanım için hangi İçerik Yönetim Sistemi tercih edilmeli ?

PHP`nin son marifeti: Executable PHP!

SHiBuMi

Birkaç hafta önce PHP-GTK ile PHP`nin yepyeni bir şekil almaya başladığını yazmıştım. Çok geçmeden ikinci bomba da düştü: Artık PHP kodlarınızı Windows altında çalıştırılabilir (exe) dosyalara dönüştürebileceksiniz. Bu özellik GTK eklentisi ile birleştiğinde PHP kullanıcıları artık gerçek GUI uygulamaları yaratmaya başlayabilecekler. Bu da PHP'nin bir script dili olmaktan çıkmaya başladığının ve giderek komple bir programlama dili olduğunun en bariz örneklerinden bir tanesi. Şu anda Linux için böyle bir imkan yok ancak open-source olan projenin Linux altında da hayata geçirilmesi için şimdiden dünya çapında kollar sıvanmış. Bu haberle ilgili daha fazla bilgi almak için www.deskcode.com/phpcompiler adresini ziyaret edebilirsiniz.

Delphi For PHP ile Hızlıca Geliştirin

Tarık

Borland'ın son kullanıcı yazılım geliştirme araçları biriminin büyük bir kısmını CodeGear' a devretmesinin ardından Delphi gibi köklü geliştirme ortamları, masaüstü uygulamalarının dışında birçok iş için kullanılmaya başlandı.(mobil donanımlar, internet uygulamaları vs.)

Bu hızlı değişim rüzgarının son bombası ise Delphi4PHP adında PHP uygulaması geliştirme ortamı.