Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Php Yumurtası

cbc

Uzun süredir kullanılan PHP'nin sürpriz yumurtası ortaya çıktı:

Bir örnegi için:
http://fazlamesai.net/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Editörün Notu: Bu yumurtaya karşılık tabağı boş yollamıyoruz ve bir de şu yumurtaya göz atın diyoruz ;-)

Türkçe wiki motoru Wikepage 2005.4 çıktı.

fox

Wikepage, wiki siteleri / kişisel / iş sitelerini veritabansız, çokludilde, banner desteği ile yapabilen sadece 27Kb'lık bir PHP kodu. Yeni sürümün özelleri arasında: Wikispam önleme amaçlı nofollow linkler, tema desteği, optimize kod, yeni dizin yapısı, tek dosya i18n desteği, yeni tema gösterilebilir. Ayrıntılı bilgi ve demo site Wikepage internet sitesinde.

Php Web Programlamaya Giriş Belgeleri

Guardian

Bir süredir php programlama diline giriş yapmak isteyenler için hazırladığım belgelerin giriş amaçlı olan kısmını bitirdim ve www.samkon.org'da yayınladım.

Belgelerin pdf formatındaki hallerini sıkıştırılmış olarak buradan indirebilirsiniz. (3.8 MB)

Aybulut Portal V.1.2

anonim

Aybulut Portal V.1.2

Aybulut Portal tamamen PHP ve MySQL tabanı üzerine kuruludur. Aybulut Portalda Neler mi var ?

Sınırsız Makale Kategorisi ve Makale Ekleyebilme

Haber,Download,Domain Sorgu,Link Ekleme,Mailist,Tavsiye etme özelikleri
Arama yapma,Takvim,Saat,Günün Sözü ve İletişim mevcuttur.
Değiştirilebilir arayüztemaları. (Tema Değiştirme Özl.)
En büyük özeligi tamamen türkçe olması ve türk yazılım olması.

Programlama Dillerine Göre Programcıların Gelir Seviyeleri

xYroN

Yapılan bir araştırmaya göre .NET programcılarının daha fazla para kazandığı ortaya çıkmış. Aynı listede PHP ise ikinci sırada bulunuyor. Aşağıdaki linklerden araştırmanın kaynağına ulaşabilirsiniz. Zend Developer Zone sitesinde ise konu ile ilgili küçük bir yazı bulunuyor.

http://devzone.zend.com/, http://www.bestcodingpractices.com/, http://blog.phpist.net/?p=34