Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[webserver] mailicious file types

Pagina: 1
Acties:

dinsdag 2 augustus 2005 16:23

Acties:

Verwijderd

Topicstarter
In een webbased systeem dat we ontwikkelen zit een stuk documentbeheer. Hierin kunnen gebruikers documenten uploaden die vervolgens door alle gebruikers geopend kunnen worden. Uit veiligheids overwegingen willen we alle bestanden die mogelijk een gevaar vormen voor de server uit sluiten, deze mogen simpelweg niet geupload worden.

De lijst met bestanden die we af willen vangen is:
  • .hta
  • .php
  • .php3
  • .php4
  • .php5
  • .phtml
  • .pl
  • .py
  • .rb
  • .sh
  • .asp
  • .aspx
  • .asp
  • .cmf
  • .cgi
  • .ssi
  • .shtml
  • .htaccess
Het systeem moet op zowel *nix als win servers draaien, en veilig zijn.
Ben ik nog gevaarlijke extensies vergeten? bvd

dinsdag 2 augustus 2005 16:27

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 13:52

sh4d0wman

Attack | Exploit | Pwn

waarom werk je met een lijst van af te vangen bestanden? het lijkt mij praktischer om een lijst van toegestane bestanden te maken. dan blok je standaard alles behalve wat je expliciet toestaat. dat werkt veel makkelijker :)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 2 augustus 2005 16:27

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 14:30

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik neem aan dat je op de hoogte bent van het feit dat extensies in principe nikszeggend zijn?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 2 augustus 2005 16:28

Acties:

Verwijderd

Verwijderd schreef op dinsdag 02 augustus 2005 @ 16:23:
In een webbased systeem dat we ontwikkelen zit een stuk documentbeheer. Hierin kunnen gebruikers documenten uploaden die vervolgens door alle gebruikers geopend kunnen worden. Uit veiligheids overwegingen willen we alle bestanden die mogelijk een gevaar vormen voor de server uit sluiten, deze mogen simpelweg niet geupload worden.

De lijst met bestanden die we af willen vangen is:
  • .hta
  • .php
  • .php3
  • .php4
  • .php5
  • .phtml
  • .pl
  • .py
  • .rb
  • .sh
  • .asp
  • .aspx
  • .asp
  • .cmf
  • .cgi
  • .ssi
  • .shtml
  • .htaccess
Het systeem moet op zowel *nix als win servers draaien, en veilig zijn.
Ben ik nog gevaarlijke extensies vergeten? bvd
Ik zou ook de headers van de bestanden bekijken, het is namelijk eenvoudig om extensies te spoofen...
ook zou ik jsp opnemen in je lijst

Edit: Orion was me voor

dinsdag 2 augustus 2005 16:56

Acties:

Verwijderd

Topicstarter
Ik zou ook de headers van de bestanden bekijken, het is namelijk eenvoudig om extensies te spoofen...
Het systeem is geschreven in PHP, het lijkt niet mogelijk te zijn op basis van headers een verschil te ontdekken in bijvoorbeeld een .php en ander plain text bestand (.txt moet bijvoorbeeld wel geupload kunnen worden.)

Extensies spoofen is inderdaad erg makkelijk, maar aangezien gebruikers niet de mogelijkheid hebben om de extensies vervolgens weer terug te zetten, lijkt me dat toch niet zo'n probleem?

dinsdag 2 augustus 2005 16:59

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 14:30

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Verwijderd schreef op dinsdag 02 augustus 2005 @ 16:56:
[...]


Het systeem is geschreven in PHP, het lijkt niet mogelijk te zijn op basis van headers een verschil te ontdekken in bijvoorbeeld een .php en ander plain text bestand (.txt moet bijvoorbeeld wel geupload kunnen worden.)

Extensies spoofen is inderdaad erg makkelijk, maar aangezien gebruikers niet de mogelijkheid hebben om de extensies vervolgens weer terug te zetten, lijkt me dat toch niet zo'n probleem?
jawel. Ken je die site niet waar je een jpg opent wat dan een script blijkt te zijn waardoor je cdrom lade opengaat?

Iemand kan dus een gevaarlijk script of iets dergelijks uploaden met een ogenschijnlijk ongevaarlijke extensie zoal .jpg ofzo. Als een ander vervolgens die file opent vanaf het websysteem dan zal dat script (afhankelijk van je browser) gewoon worden uitgevoerd.

Alleen weet ik niet in hoeverre dit schadelijk kan zijn voor de server. Sowieso vraag ik me af of dat files die geupload en gedownload worden gevaarlijk kunnen zijn :? je moet gewoon zorgen dat ze niet serverside uitgevoerd worden.. Enkel opgeslagen en geopend om te downloaden.

[ Voor 35% gewijzigd door Orion84 op 02-08-2005 17:09 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 2 augustus 2005 17:13

Acties:

Verwijderd

Topicstarter
je moet gewoon zorgen dat ze niet serverside uitgevoerd worden.. Enkel opgeslagen en geopend om te downloaden.
Ah, dat klinkt inderdaad als de essentie. Het risico nemende hard verwezen te worden naar een FAQ, is de volgende vraag natuurlijk: is het in zowel apache als IIS mogelijk om een bepaalde directory dusdanig in te stellen dat bestanden daarin nooit uitgevoerd kunnen worden?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq