Grafik içinden kod çalıştırma saldırılarıyla ilgili

0
Yns_
Bir süredir Türkiye'de ve dünyada "hekır"ların ve "skript kidi"lerin rağbet gösterdiği , IE’nin üstün (!) yorumlama zekası sonucu oluşan XSS açıklarına karşı bir PHP sınıfı hazırladım.

Saldırganın biri herhangi bir grafik dosyasını hex editörün biriyle açıp, genelde MIME kontrollerinde bakılan ilk birkaç karaktere kadar olan(örneğin:GIF892A) yere silip yazdıgı kodlar Internet Explorer 6′da maalesef icra ediliyor. Bu yolla JS kodları çalıştırılarak grafiğin yüklendiği yerden cookie bilgileri çalınabilir.

Betik, GD kütüphanesiyle gelen grafiği hafızasına alıyor. İçeriği düzenleyip tekrar oluşturuyor ve kaydediyor. Kayıt işlemi yapılırken arka planda zararlı olabilecek kodlar dikkate alınmıyor ve sorun kökten çözülüyor.

Bunun dışında kod düzenleme ile yapılabilecek saldırılar da bertaraf ediliyor.Örneğin, Apache’nin eski versiyonlarındaki xx.php.gif gibi dosya yüklemelerinin PHP olarak yorumlanması sonucu oluşan zayıflıklarda grafiğin yeniden üretilmesi kısmında çözülüyor.

Ayrıca betiğe imza özelliği de ekledim. İsterseniz her gelen grafiği kayıt etmeden sağ alt köşeye ufak puntolarla sitenizin adını yazdırabilirsiniz. İndirmek için : secureimg.rar

PHP

Görüşler

0
anonim
Elinize sağlık
Görüş belirtmek için giriş yapın...

İlgili Yazılar

vty MySQL Yöneticisi 1.6 Çıktı

pieycpi2

Web üzerinden MySQL yönetimi sağlayan vty'nin 1.6 sürümü çıktı. vty tek sayfalık bir script ile üzerinden MySQL veritabanının yönetilmesine imkan sağlıyor. tek bir sayfa olduğu için kolaylıkla kurulabiliyor. Kolay ve kullanışlı yapısı ile de dikkat çekiyor. Şu an Türkçe, İngilizce ve İtalyanca dilleri mevcut.

İndirmek için için: http://www.kutukutu.com/vty/

PHP ile Linux Programlama (Perl ve C Tadında ;-)

FZ

FM'nin genç üyelerinden tasarımcı ve acemi çaylak programcı arkadaşımız knt'nin "Yahu hocam, C tadında PHP gibi bir şey olsa ne kadar güzel olurdu, benim işimi mükemmel görürdü" demesi ve benim onu eleştirmem ile başladı her şey. Birkaç gün sonra knt arkadaşımız karşımıza aşağıda okuyacağınız belge ile çıkageldi. Çoğu kişinin sadece Apache ve web programlama bağlamında kullanılabildiğini ve başka bir işe yaramadığını zannettiği PHP dili ile nasıl normal (!) GNU/Linux programlama yapılabileceğini gösteren bu başlangıç seviyesindeki belgeden ilgili kişilerin faydalanacağını umuyoruz. Lütfen belge ile ilgili yorumlarınızı ve varsa deneyimlerinizi, eleştirilerinizi yazmaktan imtina etmeyin. Ve karşınızda...

GNUTURK PORTAL SISTEM 3G RC1 çıktı!

ulatrix

Başka bir Türk tarafından hazırlanan portal sisteminin 3. versiyonu çıktı. Bir çok portal sistemi gibi entegre modüller temalar ve bloklardan oluşsa bile kendi farkını ortaya koyacak birçok değişiklik ve yeniliği de barındırmakta. Portal hakkında detayları görmek için buraya, önizleme için buraya, test edip indirmek için buraya tıklayınız.
Not: Download güvenlik sebebiyle üyelere sınırlandırılmıştır. Üye olurken açıklama kısmına download yazmanız yeterlidir.

Dünyanın en büyük web sitesi Yahoo!, altyapısını geliştirmek için PHP`ye dönüyor

larweda

www.yahoo.com altında bilinen, internet adına yapılabilecek her türlü içeriği sunan bir web ortamı olan Yahoo!, yıllardır C/C++ ile geliştirilen altyapısını C/C++ ile geliştirmeye devam etmekten vazgeçip, bundan sonraki geliştirmelerini PHP ile yapmaya karar verdiğini duyurdu. (Bunu da Slashdot`tan duydum :-)

Yahoo'nun yüksek (yüksek dediysem, zurnanın sondan kaçıncı deliği olması babında yüksek diyorum :) mühendislerinden biri olan Michael J. Radwin, PHP Con 2002`de yaptığı bir sunumla niçin PHP'yi seçtiklerini, ve bu seçimi yaparken ne aşamalardan geçtiklerini açıklamış.

Php Web Programlamaya Giriş Belgeleri

Guardian

Bir süredir php programlama diline giriş yapmak isteyenler için hazırladığım belgelerin giriş amaçlı olan kısmını bitirdim ve www.samkon.org'da yayınladım.

Belgelerin pdf formatındaki hallerini sıkıştırılmış olarak buradan indirebilirsiniz. (3.8 MB)