ایجاد امنیت برای تصاویر آپلود شده

[phpweb]

توی یه مقاله خوندم که می شه با استفاده از ادیتوها قسمت توضیحات تصاویر آپلود شده رو ویرایش کرد و کدهای مخرب توش جاسازی کرد.

بعد هنگام اجرای تصویر، کدهای مخرب اجرا می شن و سایت در خطر میافته.

لطفا بگید چطور می تونم این نوع حملات رو بی اثر کنم؟

 

[Masoud1365]

مثلا توی یه فایل با پسوند gif کد php گذاشت و اجرا کرد ؟
اگر منظورت یه همچین چیزی باشه که امکان نداره ! من یه مقاله خوندم و تست کردم دیدم اتفاقی نمی افته !

 

[phpweb]

مثلا توی یه فایل با پسوند gif کد php گذاشت و اجرا کرد ؟
اگر منظورت یه همچین چیزی باشه که امکان نداره ! من یه مقاله خوندم و تست کردم دیدم اتفاقی نمی افته !

اگه بخواید لینک مقاله رو پیدا می کنم و براتون می فرستم.

حالا که تست کردید، یه زحمت بکشید و کدهای زیر رو توی htaccess قرار بدید تا کدهای داخل تصاویر هم اجرا بشن.

اگه به صورت عادی استفاده کنید، کدها اجرا نمی شن و باید به کمک کدهای زیر به آپاچی بگید که فایلهای تصویر رو هم مثل اسکریپتهای پی اچ پی پردازش کنه.

AddType application/x-httpd-php .jpg .png

اگه تست کردید لطفا نتیجه رو اعلام کنید.

 

[Masoud1365]

خب این که دیگه ربطی به امنیت نداره !
بحث شما اینه که مثلا یه آپلود سنتر دارید حالا نکنه کاربر بیاد پسوند یه فایل مخرب php رو عوض کنه و آپلود کنه !
طبیعتا چنین کاربری به فایل htaccess دسترسی نداره که بیاد این خط رو داخلش اضافه کنه !

 

[phpweb]

خب این که دیگه ربطی به امنیت نداره !
بحث شما اینه که مثلا یه آپلود سنتر دارید حالا نکنه کاربر بیاد پسوند یه فایل مخرب php رو عوض کنه و آپلود کنه !
طبیعتا چنین کاربری به فایل htaccess دسترسی نداره که بیاد این خط رو داخلش اضافه کنه !

توی بعضی از فرمها اعتبار سنجی زیادی انجام نمی شه و هکر می تونه یه فایل htaccess رو آپلود کنه !

برای چنین اعتبار سنجی هایی این روش که گفتم اثر می کنه. خودم تست می کنم ببینم چی می شه ولی ادیتور مورد نظر رو ندارم که بتونم کامنت تصاویر رو تغییر بدم.

وقتی پیدا کردم تست می کنم.