Загрузка фотографий товаров клиентом.

Автор EntuziAst, 01-02-2013, 19:40:45

« назад - далее »

EntuziAstTopic starter

Хочу реализовать возможность загрузки фотографий купленных товаров самим клиентом. Но переживаю, что это будет очень серьезная дыра в безопасности интернет-магазина.

На сколько это опасно?

Спасибо!)
Где проводить мониторинг позиций сайта онлайн? В Alfastat это делается в несколько кликов.
  •  


parmactep

Не опаснее чем дать пользователю возможность отзывы писать... Только нужно либо писать человеческий загрузчик, либо нормальный плагин использовать...
  •  


EntuziAstTopic starter

Цитата: parmactep от 01-02-2013, 23:07:25
Не опаснее чем дать пользователю возможность отзывы писать... Только нужно либо писать человеческий загрузчик, либо нормальный плагин использовать...

Подобных плагинов нет. А что подразумевается под "человеческим загрузчиком"?
Где проводить мониторинг позиций сайта онлайн? В Alfastat это делается в несколько кликов.
  •  

Dmitry.Sidorov

Фильтруйте загружаемые файлы, к примеру с помощью php-gd

GreyWizard

Проверяйте загружаемые файлы на их соответствие расширению. К примеру, если юзер грузит фото в jpg, а по факту формат файла отличается от jpg - подозрительно  :)
Услуги по веб безопасности: проверка ваших веб проектов на уязвимости, рекомендации по их устранению и устранение. Цена от 25$ (только тестирование). Лечение сайтов от вирусов, а после лечение определение дыры в безопасности. От 50$
  •  


parmactep

Цитата: GreyWizard от 07-04-2013, 13:13:12Проверяйте загружаемые файлы на их соответствие расширению. К примеру, если юзер грузит фото в jpg, а по факту формат файла отличается от jpg - подозрительно
Этого мало... Можно скрипт с расширение jpg загрузить
  •  

GreyWizard

Цитата: parmactep от 07-04-2013, 16:21:59
Этого мало... Можно скрипт с расширение jpg загрузить

Речь не об этом. Я имел ввиду, что если файл jpg, то проверять чтобы формат файла действительно был jpg. Конечно в картинку можно вставить EXIF, но это актуально, если этот exif затем на сайте в чистом виде выводится и не проверяется.
Услуги по веб безопасности: проверка ваших веб проектов на уязвимости, рекомендации по их устранению и устранение. Цена от 25$ (только тестирование). Лечение сайтов от вирусов, а после лечение определение дыры в безопасности. От 50$
  •  

parmactep

Как это речь не об этом..? В картинке, если она проходит только проверку на формат можно свободно протащить исполняемый скрипт... И даже без exif
  •  


GreyWizard

Цитата: parmactep от 07-04-2013, 18:13:51
Как это речь не об этом..? В картинке, если она проходит только проверку на формат можно свободно протащить исполняемый скрипт... И даже без exif

Ну блин, а смысл? Просто так это не сработает. Если бы можно было вставлять код в картинки, то никаких фотохостингов да и вообще аплоадов фоток не было бы, потому что все были бы под управлением хакеров  :))

Файлы с расшрением jpg не обрабатываются как PHP, ну конечно если только сам админ не на косячил и в конфиг (или htaccess) не бахнул, что картинки обрабатывать как пхп.

Или например, если функция на сайте проверяет только формат, но на сайт позволяет выкладывать в любом расширении. Например, называем файл blablabla без расширения. Скрипт проверяет формат, картинка, все ок. Заливает БЕЗ РАСШИРЕНИЯ. Мы открываем и выполняем наш пхп код. Или если вообще расширение не проверяется, тогда еще проще.

Т.е. для того чтобы заработал скрипт внутри картинки нужно чтобы админ сервера серьезно накосячил.

Если проверять формат и подставлять к файлу правильное расширение и просто отдавать картинку юзеру в браузер, то скрипт внутри картинки никогда не выполнится. В противном случае, повторюсь, ни на каких сайтах картинки бы не позволяли загружать
Услуги по веб безопасности: проверка ваших веб проектов на уязвимости, рекомендации по их устранению и устранение. Цена от 25$ (только тестирование). Лечение сайтов от вирусов, а после лечение определение дыры в безопасности. От 50$
  •  


parmactep

#9
Цитата: GreyWizard от 08-04-2013, 03:18:10если только сам админ не на косячил и в конфиг (или htaccess) не бахнул, что картинки обрабатывать как пхп.
Вы не забывайте что большинство людей пользуются услугами хостинга и серверы не админят... А на хостингах - выполнение любых файлов - нередкость... Да и не php единым богат скриптовый мир)))
Еще раз повторяюсь ПРОВЕРКИ ФОРМАТА И РАСШИРЕНИЯ НЕДОСТАТОЧНО

Скрипт загрузки должен в обязательном порядке пересоздавать изображение, а не загружать существующий файл...
Например в php с помощю imagecreatetruecolor
  •