[HaBo]

keksinat0r · 31.01.07, 00:15

wir nehmen ein forum das gegen injections und variablenmanipulation vollkommen sicher ist und bauen dort eine funktion ein mit der user avatare und externe signaturen einbinden können... welche sicherheitslücken entstehen dadurch?

theoretisch kann der "angreifer" ja alles hochladen/einbinden selbst wenn die datei geprüft wird, solange er es mit einer entsprechenden dateierweiterung versieht.

welche möglichkeiten bieten sich dem angreifer an fremde codes einzubinden um so zugriff auf den server zu erlangen? (bsp c99)

**Elderan** · 31.01.07, 16:53

Hallo,
mit getimagesize() kann man überprüfen, ob ein Bild wirklich ein Bild ist. Aber wo ist das Problem, wenn jmd. einen PHP Script als .jpg hochlädt? Da es keine PHP Endung hat, wird es nicht ausgeführt wenn man es direkt per URL aufruft (was meistens nicht möglich ist, htaccess).

Und im Board selber wird ein Bild mit <img src=".."> eingebunden. Wenn die Quelle eine PHP Datei ist, dann wird die PHP Datei ausgeführt, sofern der Webserver die Datei als PHP Datei erkennt (also PHP installiert + .php Endungn), und das Ergebnis wird angezeigt. Wenn es die Endung .jpg hat, wird versucht als Bild PHP Code anzuzeigen.

Wenn das Bild von einer externen Seite geladen wird, kann dies schon problematischer sein, denn dann könnte man u.U. über den Referrer an die SID kommen, darum am besten das Bild über ein Umweg laden lassen.

Sonst besteht noch allgemein die Gefahr, dass ein Bild Sicherheitslücken bei den User ausnutzt, ich also ein Bild mit einem Exploit als Avatar wähle, und jeder (anfällige) User leidet dann darunter. Aber solche Lücken sind eher selten in Browsern.

Und wie externe Signaturen aussehen kann ich mir zur Zeit nicht vorstellen.

PS: Falsches Forum

Anzeige

- Anzeige -

keksinat0r · 31.01.07, 17:42

ja wusst net so genau ob webdesign-forum oder security...
naja kannst ja rumschieben

mit externen signaturen mein ich zb sloganizer.net,
oder ts-viewer-signatur, etc...
bsp:

Code:


bzw
<a href="http://www.sloganizer.net" target="_blank" title="Sloganizer - der Slogan Generator"><img src="http://www.sloganizer.net/bild,m-oe-p,weiss,schwarz.png" border="0" alt="generiert von Sloganizer" title="Dieser Slogan wurde von Sloganizer.net generiert"/></a>

hier kann ja auch wieder quasi alles eingebunden werden
(eigentlich gleiches problem wie bei avataren)

bin da jetzt nur ein bissel vorsichtig, da irgend ein script-kiddie auf irgend einem umweg ein php-script (eben das c99) auf unsere alte seite geladen und diese damit gelöscht hat...
an die serverlogs kommen wir net ran, da es ein privater anbieter war, der sie aus sicherheitsgründen net rausrücken will...
desswegen versuch ich jetzt grad systematisch die sicherheitslücke ausfindig zu machen, und das einzige was mir nach langem suchen noch eingefallen ist, waren eben avatare und co...

blueflash · 31.01.07, 23:49

Grundsätzlich ist bei _jeder_ Art von User-Generated Content extreme Vorsicht geboten. Leider wird das von den wenigsten Standardpaketen auch berücksichtigt. Mir graust vor dem Tag, an dem wikipidia abraucht. Der Witz ist halt: Solange der Inhalt irgendwo ungeprüft durch die Gegend schwirrt, kann er auch Sicherheitslücken provozieren.

Anzeige

- Anzeige -

31.01.07, 00:15	#1 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	sicherheitsloch dateiupload/include... Anzeige wir nehmen ein forum das gegen injections und variablenmanipulation vollkommen sicher ist und bauen dort eine funktion ein mit der user avatare und externe signaturen einbinden können... welche sicherheitslücken entstehen dadurch? theoretisch kann der "angreifer" ja alles hochladen/einbinden selbst wenn die datei geprüft wird, solange er es mit einer entsprechenden dateierweiterung versieht. welche möglichkeiten bieten sich dem angreifer an fremde codes einzubinden um so zugriff auf den server zu erlangen? (bsp c99)

31.01.07, 17:42	#3 (permalink)
keksinat0r Themenstarter Registriert seit: 06.01.07 Likes: 0	ja wusst net so genau ob webdesign-forum oder security... naja kannst ja rumschieben mit externen signaturen mein ich zb sloganizer.net, oder ts-viewer-signatur, etc... bsp: Code: bzw <a href="http://www.sloganizer.net" target="_blank" title="Sloganizer - der Slogan Generator"><img src="http://www.sloganizer.net/bild,m-oe-p,weiss,schwarz.png" border="0" alt="generiert von Sloganizer" title="Dieser Slogan wurde von Sloganizer.net generiert"/></a> hier kann ja auch wieder quasi alles eingebunden werden (eigentlich gleiches problem wie bei avataren) bin da jetzt nur ein bissel vorsichtig, da irgend ein script-kiddie auf irgend einem umweg ein php-script (eben das c99) auf unsere alte seite geladen und diese damit gelöscht hat... an die serverlogs kommen wir net ran, da es ein privater anbieter war, der sie aus sicherheitsgründen net rausrücken will... desswegen versuch ich jetzt grad systematisch die sicherheitslücke ausfindig zu machen, und das einzige was mir nach langem suchen noch eingefallen ist, waren eben avatare und co...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Dateiupload funktioniert nicht (Browserabhängig?)	Extinction	Applikationen	5	26.08.09 10:39
PHP + APC Progressbar für Dateiupload	Prophion	(Web-) Design und webbasierte Sprachen	1	11.06.09 21:54
sicherheitsloch dateiupload/include...	keksinat0r	(In)security allgemein	1	31.01.07 16:53
Nach Dateiupload ist Datei verändert!	Gismo1	Applikationen	7	04.12.03 22:23
vnc sicherheitsloch	soox	News & Ankündigungen	3	03.12.02 23:10

31.01.07, 16:53	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, mit getimagesize() kann man überprüfen, ob ein Bild wirklich ein Bild ist. Aber wo ist das Problem, wenn jmd. einen PHP Script als .jpg hochlädt? Da es keine PHP Endung hat, wird es nicht ausgeführt wenn man es direkt per URL aufruft (was meistens nicht möglich ist, htaccess). Und im Board selber wird ein Bild mit <img src=".."> eingebunden. Wenn die Quelle eine PHP Datei ist, dann wird die PHP Datei ausgeführt, sofern der Webserver die Datei als PHP Datei erkennt (also PHP installiert + .php Endungn), und das Ergebnis wird angezeigt. Wenn es die Endung .jpg hat, wird versucht als Bild PHP Code anzuzeigen. Wenn das Bild von einer externen Seite geladen wird, kann dies schon problematischer sein, denn dann könnte man u.U. über den Referrer an die SID kommen, darum am besten das Bild über ein Umweg laden lassen. Sonst besteht noch allgemein die Gefahr, dass ein Bild Sicherheitslücken bei den User ausnutzt, ich also ein Bild mit einem Exploit als Avatar wähle, und jeder (anfällige) User leidet dann darunter. Aber solche Lücken sind eher selten in Browsern. Und wie externe Signaturen aussehen kann ich mir zur Zeit nicht vorstellen. PS: Falsches Forum

31.01.07, 23:49	#4 (permalink)
blueflash Member of Honour Registriert seit: 03.10.01 Likes: 1	Grundsätzlich ist bei _jeder_ Art von User-Generated Content extreme Vorsicht geboten. Leider wird das von den wenigsten Standardpaketen auch berücksichtigt. Mir graust vor dem Tag, an dem wikipidia abraucht. Der Witz ist halt: Solange der Inhalt irgendwo ungeprüft durch die Gegend schwirrt, kann er auch Sicherheitslücken provozieren.

[HaBo]

sicherheitsloch dateiupload/include...