[HaBo]

Xalon · 09.05.06, 19:12

Hi,
ich wollte mal fragen ob es für mich ein Risiko birgt wenn User .jpg Files auf meinen
Space laden können,wenn sie beliebigen Code ins File schreiben können?
Die Files werden dann z.b 12345.jpg heißen!

Danke im voraus,
Xalon

fapeg · 09.05.06, 20:31

Ne, ne jpg Datei wird ja nicht ausgeführt sondern nur dargestellt. Wenn mann da Code reinschreibt wird wahrscheinlich gar nichts angezeigt.

Anzeige

- Anzeige -

ivegotmail · 09.05.06, 21:03

es besteht theoretisch die möglichkeit einen webserver bzw gewisse ordner so zu konfigurieren, dass bilddateien auch von php geparsed werden, zb wenn man dynamische bilder generiert, die die endung .jpg haben sollen anstatt .php. (geht mit htaccess: "AddType application/x-httpd-php .jpg")
ist wohl in keiner standardkonfiguration so konfiguriert, aber kannst es ja sicherheitshalber mal überprüfen ob php code (in einer textdatei mit der endung .jpg) ausgeführt wird.

Xalon · 09.05.06, 21:08

Das weiß ich schon beides

Kann ja sein das es da noch irgenwas was gibt...
Anscheinend nicht,ausgezeichnet!

Xalon

LX · 09.05.06, 21:56

Prüfe doch einfach vor der Verarbeitung, ob in der JPG auch image/jpeg drin ist. Mit getimagesize() sollte das z.B. möglich sein, oder per Shell-Aufruf von `file`.

Anzeige

- Anzeige -

09.05.06, 19:12	#1 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	.jpg mit beliebigem Inhalt -- Lücke? Anzeige Hi, ich wollte mal fragen ob es für mich ein Risiko birgt wenn User .jpg Files auf meinen Space laden können,wenn sie beliebigen Code ins File schreiben können? Die Files werden dann z.b 12345.jpg heißen! Danke im voraus, Xalon

09.05.06, 21:03	#3 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	es besteht theoretisch die möglichkeit einen webserver bzw gewisse ordner so zu konfigurieren, dass bilddateien auch von php geparsed werden, zb wenn man dynamische bilder generiert, die die endung .jpg haben sollen anstatt .php. (geht mit htaccess: "AddType application/x-httpd-php .jpg") ist wohl in keiner standardkonfiguration so konfiguriert, aber kannst es ja sicherheitshalber mal überprüfen ob php code (in einer textdatei mit der endung .jpg) ausgeführt wird. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

09.05.06, 21:56	#5 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Prüfe doch einfach vor der Verarbeitung, ob in der JPG auch image/jpeg drin ist. Mit getimagesize() sollte das z.B. möglich sein, oder per Shell-Aufruf von `file`. __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wieder CodeInBild-Lücke o_O	Xalon	(In)security allgemein	2	06.01.06 15:54
Microsoft schließt SNMP-Lücke	STeFaN	News & Ankündigungen	0	29.04.02 11:38

09.05.06, 20:31	#2 (permalink)
fapeg Registriert seit: 14.02.05 Likes: 0	Ne, ne jpg Datei wird ja nicht ausgeführt sondern nur dargestellt. Wenn mann da Code reinschreibt wird wahrscheinlich gar nichts angezeigt.

09.05.06, 21:08	#4 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Das weiß ich schon beides Kann ja sein das es da noch irgenwas was gibt... Anscheinend nicht,ausgezeichnet! Xalon

[HaBo]

.jpg mit beliebigem Inhalt -- Lücke?