[HaBo]

Dawen · 08.10.11, 17:52

Hallo !

Man kann ja in Bildern diversen Schadcode einfügen. Nun habe ich eine Web-Applikation wo User Bilder hochladen dürfen/müssen. Wenn ich nun das Bild per "convert" einmal skaliere und die Größe um 1px reduziere, wird dann auch der Schadcode entfernt ?! Bzw. kann beim Befehl convert etwas passieren ( z.B. Shellcode einspielen ? )

koskor · 08.10.11, 18:01

Ich kann mir eigentlich nicht vorstellen das durch das simple skalieren eines Bildes, der Code geändert wird. Ich bin mir aber nicht zu hundertprozent sicher.
Ganz interessant fand ich diese Webseiten:
Upload-Bilder auf Schadcode prüfen - PHP - WebmasterWork

Security Control - Ordner auf Grafiken mit Schadcode prüfen (1.6.03 - 1.6.5) - Downloads | aktuelle PHPKIT Version - Kitnetwork Supportforum

So wie ich das gesehen habe geht das mit php recht einfach.

Ich hoffe ich konnte dir weiterhelfen

Anzeige

- Anzeige -

Dawen · 08.10.11, 18:44

Hallo !

Ist schon einmal ganz gut. Ich kannte die erste Seite bereits. Problem ist halt alles, was von außen kommt. Ich überlege was die schönste Möglichkeit wäre.

Aktuell überlege ich :

- convert und danach ein combine mit einem transparenten Bild.

Bei meinem Test war alles weg. Ich bin jetzt aber auch nicht der super cracker.

**bitmuncher** · 08.10.11, 19:01

Wenn es um eine Webapplikation geht, solltest du nicht irgendwelche "externen" Programme aufrufen sondern z.B. eine entsprechende Funktionalität aus der ImageMagick-Lib oder aus der GDLib nutzen. Aufrufe von Programmen in Webapps stellen immer ein erhöhtes Risiko dar.

Dawen · 08.10.11, 19:25

Zitat:

Zitat von bitmuncher

Wenn es um eine Webapplikation geht, solltest du nicht irgendwelche "externen" Programme aufrufen sondern z.B. eine entsprechende Funktionalität aus der ImageMagick-Lib oder aus der GDLib nutzen. Aufrufe von Programmen in Webapps stellen immer ein erhöhtes Risiko dar.

Hallo !

convert ist doch aus der ImageMagick-Lib ?! Über diese will ich die Bilder skalieren. Upload läuft uploadify !

**bitmuncher** · 08.10.11, 19:52

convert ist ein Programm, das die ImageMagick-Lib nutzt. Wenn du PHP nutzt, findest du die entsprechenden Funktionalitäten für das zugehörige PECL-Modul unter PHP: ImageMagick - Manual. In dem Moment, wo du über system(), exec() oder shell_exec() etwas aufrufst, nutzt du damit ein Programm des Systems und das sollte man in Webapps wo immer möglich vermeiden. Dabei kann bereits ein nicht korrekt validierter oder umgewandelter Dateiname dazu führen, dass ein Angreifer andere Programme aufruft, als das von dir gewünschte, und sich so Zugriff auf den Server verschafft.

ByteSurfer · 09.10.11, 09:09

Prüfe das Bild auf die Eindeutigkeit, ob es z.B. ein jpg ist.
Ich glaube laut dem Buch "wie programmiere ich eine sichere Webanwendung" mich zu Erinnern, das die Php type Prüfung (frag mich jetzt nicht welche) nur auf ein vorkommen im Namen prüft. QUASI "test_jpg.gif" würde true bie einer Prüfung auf jpg liefern ...

letztendlich solltest Du wie bereits erwähnt mit imagemagick alle Grafiken in eine JPG wandeln, da Du hier davon ausgehen kannst das der Schadcode, wenn vorhanden, eliminiert wird...

enkore · 09.10.11, 19:12

Zitat:

Zitat von ByteSurfer

Prüfe das Bild auf die Eindeutigkeit, ob es z.B. ein jpg ist.
Ich glaube laut dem Buch "wie programmiere ich eine sichere Webanwendung" mich zu Erinnern, das die Php type Prüfung (frag mich jetzt nicht welche) nur auf ein vorkommen im Namen prüft. QUASI "test_jpg.gif" würde true bie einer Prüfung auf jpg liefern ...

letztendlich solltest Du wie bereits erwähnt mit imagemagick alle Grafiken in eine JPG wandeln, da Du hier davon ausgehen kannst das der Schadcode, wenn vorhanden, eliminiert wird...

@1: Nö, Identifzierung läuft bei FILES [type] über MIME, bei GetImageSize dürfte es Magicnumber, also letztendlich das gleiche wie bei MIME, sein.

@2: Der sicherste Weg sollte sein nur die Bilddaten erneut zu speichern. Sprich Bild laden -> Isolieren (Metadaten und alles was sonst noch da ist entfernen) -> speichern. Evtl. zwischendrin noch ein Combine machen, damit jedes Byte einmal angeschaut wird.

ByteSurfer · 10.10.11, 07:14

Zitat:

Nö, Identifzierung läuft bei FILES [type] über MIME, bei GetImageSize dürfte es Magicnumber, also letztendlich das gleiche wie bei MIME, sein.

Genua, da du hier bei einem nicht Bildtypen false zurückbekommst.

Hackse · 10.10.11, 16:41

Zitat:

Zitat von ByteSurfer

Genua, da du hier bei einem nicht Bildtypen false zurückbekommst.

Auswertung des MIME-Types, Ermittlung der Bildgröße etc. ist nur für jene Fälle ausreichend, in denen (ausführbare) Schadprogramme als *.jpg und Konsorten unbenannt wurden.

Wenn Du jedoch Schadcode in einer validen Bilddatei eingebettet hast, wird Deine Prüfung trotz des Schadcodes true zurückgeben. Prüfung auf MIME-Type ist somit ungenügend.

Tools wie mogrify und convert täte ich ausschließlich auf Bildern aus eigenen Bildquellen anwenden, jedoch nicht auf Bilder/Code von Fremden (sprich extern hochgeladene Bilder über einen Webserver).

Greetz
Hackse

enkore · 11.10.11, 17:30

Das sicherste dürfte einfach ein Load, Merge und Save mit GD sein.

**bitmuncher** · 11.10.11, 18:49

GD macht bei PHP 5.3.x Schwierigkeiten, wenn man grosse Bilder oder welche im Loop verarbeiten will. Ein 800k grosses JPEG kann da durchaus mal 40MB RAM fressen. Daher nutzen die meisten Plattformen mittlerweile ImageMagick. Wir mussten die Erfahrung kürzlich bei der Umstellung auf PHP 5.3 machen.

enkore · 11.10.11, 18:57

Hmm dann würde ich den Weg gehen und ein kleines PHP Plugin für Freeimage schreiben. Das hat sich bei mir immer als sehr speichersparend herausgestellt.

Anzeige

- Anzeige -

08.10.11, 17:52	#1 (permalink)
Dawen Registriert seit: 19.08.04 Likes: 1	Schadcode in Bildern Anzeige Hallo ! Man kann ja in Bildern diversen Schadcode einfügen. Nun habe ich eine Web-Applikation wo User Bilder hochladen dürfen/müssen. Wenn ich nun das Bild per "convert" einmal skaliere und die Größe um 1px reduziere, wird dann auch der Schadcode entfernt ?! Bzw. kann beim Befehl convert etwas passieren ( z.B. Shellcode einspielen ? )

08.10.11, 19:01	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Wenn es um eine Webapplikation geht, solltest du nicht irgendwelche "externen" Programme aufrufen sondern z.B. eine entsprechende Funktionalität aus der ImageMagick-Lib oder aus der GDLib nutzen. Aufrufe von Programmen in Webapps stellen immer ein erhöhtes Risiko dar. Tarantoga and Machine like this. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

08.10.11, 19:52	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	convert ist ein Programm, das die ImageMagick-Lib nutzt. Wenn du PHP nutzt, findest du die entsprechenden Funktionalitäten für das zugehörige PECL-Modul unter PHP: ImageMagick - Manual. In dem Moment, wo du über system(), exec() oder shell_exec() etwas aufrufst, nutzt du damit ein Programm des Systems und das sollte man in Webapps wo immer möglich vermeiden. Dabei kann bereits ein nicht korrekt validierter oder umgewandelter Dateiname dazu führen, dass ein Angreifer andere Programme aufruft, als das von dir gewünschte, und sich so Zugriff auf den Server verschafft. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

11.10.11, 17:30	#11 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Das sicherste dürfte einfach ein Load, Merge und Save mit GD sein. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

11.10.11, 18:49	#12 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	GD macht bei PHP 5.3.x Schwierigkeiten, wenn man grosse Bilder oder welche im Loop verarbeiten will. Ein 800k grosses JPEG kann da durchaus mal 40MB RAM fressen. Daher nutzen die meisten Plattformen mittlerweile ImageMagick. Wir mussten die Erfahrung kürzlich bei der Umstellung auf PHP 5.3 machen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

08.10.11, 18:01	#2 (permalink)
koskor Registriert seit: 04.10.11 Likes: 0	Ich kann mir eigentlich nicht vorstellen das durch das simple skalieren eines Bildes, der Code geändert wird. Ich bin mir aber nicht zu hundertprozent sicher. Ganz interessant fand ich diese Webseiten: Upload-Bilder auf Schadcode prüfen - PHP - WebmasterWork Security Control - Ordner auf Grafiken mit Schadcode prüfen (1.6.03 - 1.6.5) - Downloads \| aktuelle PHPKIT Version - Kitnetwork Supportforum So wie ich das gesehen habe geht das mit php recht einfach. Ich hoffe ich konnte dir weiterhelfen

08.10.11, 18:44	#3 (permalink)
Dawen Themenstarter Registriert seit: 19.08.04 Likes: 1	Hallo ! Ist schon einmal ganz gut. Ich kannte die erste Seite bereits. Problem ist halt alles, was von außen kommt. Ich überlege was die schönste Möglichkeit wäre. Aktuell überlege ich : - convert und danach ein combine mit einem transparenten Bild. Bei meinem Test war alles weg. Ich bin jetzt aber auch nicht der super cracker.

09.10.11, 09:09	#7 (permalink)
ByteSurfer Registriert seit: 30.03.07 Likes: 17	Prüfe das Bild auf die Eindeutigkeit, ob es z.B. ein jpg ist. Ich glaube laut dem Buch "wie programmiere ich eine sichere Webanwendung" mich zu Erinnern, das die Php type Prüfung (frag mich jetzt nicht welche) nur auf ein vorkommen im Namen prüft. QUASI "test_jpg.gif" würde true bie einer Prüfung auf jpg liefern ... letztendlich solltest Du wie bereits erwähnt mit imagemagick alle Grafiken in eine JPG wandeln, da Du hier davon ausgehen kannst das der Schadcode, wenn vorhanden, eliminiert wird...

11.10.11, 18:57	#13 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Hmm dann würde ich den Weg gehen und ein kleines PHP Plugin für Freeimage schreiben. Das hat sich bei mir immer als sehr speichersparend herausgestellt. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
? in Bildern	KaM!KoZe	Downloads	8	30.11.05 12:24
mit Bildern bei XAMPP/Apache	.tails	Internet Allgemein	9	14.10.05 19:49
Nachrichten in Bildern	ByteWolf	Cryptography & Encryption	4	22.05.05 16:59

[HaBo]

Schadcode in Bildern