Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[upload filters] 100% Secure?

Pagina: 1
Acties:
  • 354 views

zaterdag 2 augustus 2008 09:18

Acties:

Verwijderd

Topicstarter
Hoi,
"InfoWorld reports on a new potential ploy for stealing Web user's private information: Researcher has found that by placing a new type of hybrid file on Web sites that let users upload their own images, they can circumvent security systems and take over Web surfers' accounts. 'They call this type of file a GIFAR, a contraction of GIF (graphics interchange format) and JAR (Java Archive), the two file-types that are mixed. At Black Hat, researchers will show attendees how to create the GIFAR while omitting a few key details to prevent it from being used immediately in any widespread attack.'"
http://www.infoworld.com/...online_credentials_1.html

En aangezien er op Tweakers aardig wat scriptkiddies rondlopen (vgl. het aantal Tweakers die de Speedtouch 'hack' probeerde nav de nieuwspost) hoop ik wel een klein beetje dat T.net niet ook exploitable zal zijn. Misschien dat dat even extra goed gechecked zou kunnen worden direct na afloop van de BlackHat presentatie?
There are a couple of ways that the GIFAR attack could be thwarted. Web sites could beef up their filtering tools so that they could spot the hybrid files. Alternatively, Sun could tighten up the Java runtime environment to prevent this from happening. The researchers expect Sun to come up with a fix not long after its Black Hat talk.

[ Voor 19% gewijzigd door Verwijderd op 02-08-2008 09:42 ]

zondag 3 augustus 2008 23:01

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

We doen iig een paar checks op geuploade afbeeldingen, 't is niet alsof we klakkeloos alles toelaten wat met .gif/.png/.jpg eindigt :)

Maar het kan inderdaad geen kwaad om een en ander een keer na te lopen. Het is jammer dat men nog geen details over het detecteren van de GIFAR's bekend heeft gemaakt. Het lijkt erop dat een en ander niet helemaal een geweldige GIF-afbeelding is, maar desalniettemin blijft het lastig te verifieren.

Verder lijkt het erop dat domweg het hosten van de afbeelding op zich nog geen gevaar vormt, men moet ook nog eens op een pagina terecht komen waar de GIFAR in een applet-tag verwerkt kon worden. Dus het is zeker niet zo dat iedereen op Tweakers.net automatisch blootgesteld wordt aan een of ander gevaar op het moment dat blijkt dat die GIFAR's hier te uploaden zouden zijn.

maandag 4 augustus 2008 22:45

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:57

crisp

Devver

Pixelated

Dat lijkt enigszins op nieuws: XSS-exploit door Microsoft betiteld als 'by design' alleen hier is het de Internet Explorer webbrowser die in sommige gevallen de HTML 'signature' die door sniffing wordt gezien prefereert boven de GIF signature - hiervoor hebben we zelf ook al sniffing ingebouwd voor door gebruikers geuploaded plaatjes.

Verder doen we nog wel wat meer checks en worden er sowieso image-specifieke operaties uitgevoerd (aanmaken van een thumbnail) waar een non-valid image dus sowieso zal falen.

Intentionally left blank

donderdag 29 januari 2009 12:02

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 23:57

crisp

Devver

Pixelated

Geen issue dus

Intentionally left blank

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq