Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Gelişmiş PHP ve MySQL Dersleri

anonim

PHP ve MySQL konularında Türkçe kaynak sıkıntısı çeken herkesin arayış içinde olduğu şu zamanlarda Güray Süerdem kişisel blog sayfasında bilgi ve tecrübelerinden faydalanarak hazırladığı PHP ve MySQL derslerini derli ve toplu bir şekilde yayınlayarak Türkçe kaynak sıkıntısını aza indirmeyi planlamış.Ayrıca derslerin yanında bazı önemli fonksiyonlarada yer vermiş.Siteye buradan ulaşabilirsiniz.

Türkçe wiki motoru Wikepage 2005.4 çıktı.

fox

Wikepage, wiki siteleri / kişisel / iş sitelerini veritabansız, çokludilde, banner desteği ile yapabilen sadece 27Kb'lık bir PHP kodu. Yeni sürümün özelleri arasında: Wikispam önleme amaçlı nofollow linkler, tema desteği, optimize kod, yeni dizin yapısı, tek dosya i18n desteği, yeni tema gösterilebilir. Ayrıntılı bilgi ve demo site Wikepage internet sitesinde.

PHP 5.0.0 Beta 1

butch

Uzun süredir şöyle olacak böyle olacak diye hakkında konuşulan PHP 5'in ilk betası çıktı. Zend 2, yeniden hazırlanan XML desteği başlıca yenilikleri. Bir de gözüme çarpan detay; MySQL kütüphanesi, 4.0 lisansındaki birtakım mevzulardan dolayı artık PHP ile birlikte gelmeyecekmiş. Detaylar php.net'te

PHP 5.0.0 Çıktı

WoLoLo

php.net 5.0.0 sürümünü çıkardığını duyurdu.
Yeni sürümü Zend Engine II ve komple bir XML desteği sağlıyor. Ayrıca yeni sürümde SQLite adı verilen oldukça kullanışlı bir SQL sürümü ile beraber geliyor.


Download : php 5.0.0
Changelog : Release Candidate 3 > php 5.0.0

Türkçe Wiki/Blog Melezi Wikepage'in Yeni Sürümü Çıktı

sblisesivdin

Veritabanı gerektirmeyen ve 30K altında büyüklüğe sahip olan wiki/blog melezi wikepage'in yeni sürümü Opus 10 2006.2a çıktı. Çoğunlukla hata giderimi olan sürümde, birkaç ufak özellik de eklenmiş. Ayrıntılı bilgiyi wikepage sitesinde bulabilirsiniz.

Not: Ön tanımlı olarak İngilizce seçili gelen Wikepage'i Türkçe kullanabilmek için aynı sayfadan Türkçe dil dosyasınıda indirmeniz gerekiyor.