Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

izbul.net ve turk-php.com Bilgi Yarışması

oktay

Turk-PHP.com sitesinin hediyeli bilgi yarışmaları izbul.net'ten 6 ay ücretsiz hosting hediyeli son sayısıyla karşınızda. Yarışmada her hafta bir kişiye ücretsiz web hosting hediye edilmesi planlanıyor.

Ayrıntılı bilgi için lütfen http://www.turk-php.com/pages.php?page=Yarisma adresini ziyaret ediniz.

İyi şanslar.

PHP 5.2 Duyuruldu

Ono

* Zend Motoruna daha iyi ve verimli performans sağlayacak yeni bellek yönetimi.
* Giriş eklentisi varsayılan olarak eklendi.
* JSON eklentisi varsayılan olarak eklendi.
* Zip eklentisi artık zip dosyaları oluşturup editleyebiliyor.

Vty - Mysql ve Mssql için Php tabanlı Veritabanı Yönetici

pieycpi

Mysql ve Mssql'i web üzerinden yönetmek kullanacağınız Vty scriptinin kullanılabilir ilk versiyonu çıktı. Vty ile mysql ve mssql database'i üzerinde istediğiniz işlemi web tabanlı olarak yapabilirsiniz.
Vty hakkında daha fazla bilgi almak ve Vty'yi download etmek için: www.kutukutu.com/vty

Türkçe Wiki/Blog Melezi Wikepage'in Yeni Sürümü Çıktı

sblisesivdin

Veritabanı gerektirmeyen ve 30K altında büyüklüğe sahip olan wiki/blog melezi wikepage'in yeni sürümü Opus 10 2006.2a çıktı. Çoğunlukla hata giderimi olan sürümde, birkaç ufak özellik de eklenmiş. Ayrıntılı bilgiyi wikepage sitesinde bulabilirsiniz.

Not: Ön tanımlı olarak İngilizce seçili gelen Wikepage'i Türkçe kullanabilmek için aynı sayfadan Türkçe dil dosyasınıda indirmeniz gerekiyor.

DCP Portal 7 BETA Yayınlandı

deathline

DCP Portal 7 Beta bir yıldan fazla süren geliştirme süresinden sonra yayınlandı. Sürüm 7 beta 15 Şubat 2007 tarihinden itibaren Codeworx Teknolojileri dosya indirme alanından erişilebilir durumdadır. Bu sürüm için bir güncelleme betiği mevcut olmayıp, gerekli kararlılık ve sağlamlık sınamalarından geçirilmeden kullanılmamalıdır.