[php] verborgen php code in images

1
2
3
4
5

            [name] => gifje.gif
            [type] => image/gif
            [tmp_name] => ******************
            [error] => 0
            [size] => 2658

[ Voor 59% gewijzigd door AtleX op 19-07-2004 16:09 ]

[ Voor 11% gewijzigd door Verwijderd op 19-07-2004 16:19 ]

NMe84 schreef op 19 juli 2004 @ 16:32:
Als je een php bestand uploadt met de jpg extensie, en er staat een script op de server dat include aan de hand van get data (bijvoorbeeld), dan zou dit een leak kunnen zijn. Helemaal zeker ben je nooit, maar je kan het beste naar het mime type kijken, en als je alleen maar images mag uploaden, dan zou je met de GD lib kunnen kijken of die images te openen zijn zonder fouten. Geen enkele methode is natuurlijk echt 100% veilig...

Skinkie schreef op 19 juli 2004 @ 16:36:
[...]

waarom zou je een jpg plaatje via include door een server heel laten gaan? Het is ubertraag, er treed geen caching op... verzin zelf nog tien redenen...

1

include($_GET["file"]);

NMe84 schreef op 19 juli 2004 @ 16:38:
Erg onveilig, dat weet ik, maar er zijn zat scripts die dit hebben. Als een "hacker" nou een "jpg" uploadt met PHP code erin, en dan dat PHP script start met: "index.php?file=/upload/hack.jpg", dan wordt die code dus uitgevoerd en zijn de rapen gaar. En zo zijn er meer manieren om code uit te voeren...

Michali schreef op 19 juli 2004 @ 16:59:

offtopic:
Ligt het nou aan mij of is de gehele documentation weg? http://nl2.php.net/manual/nl/

[ Voor 16% gewijzigd door Johnny op 19-07-2004 19:37 ]

Verwijderd schreef op 19 juli 2004 @ 19:37:
Als de hacker de bestanden op de server niet kan lezen, kan je het als volgt beveiligen:

In het include bestand:

code:

1	$echt_include_bestand=TRUE;

In het andere bestand:

code:

1 2	include($file); if (!$echt_include_bestand) { die("Aaargh! Een hacker!!!") }

[ Voor 6% gewijzigd door RwD op 19-07-2004 19:49 ]

Verwijderd schreef op 19 juli 2004 @ 19:37:
Als de hacker de bestanden op de server niet kan lezen, kan je het als volgt beveiligen:

In het include bestand:

code:

1	$dit_is_een_echt_include_bestand=TRUE;

In het andere bestand:

code:

1 2	include($file); if (!$dit_is_een_echt_include_bestand) { die("Aaargh! Een hacker!!!") }

RwD schreef op 19 juli 2004 @ 19:48:
Misschien een stomme vraag, maar is op die manier de code niet al uitgevoerd voordat je jouw test doet?

Verwijderd schreef op 19 juli 2004 @ 19:52:
Ik wist wel dat er iets mis was...

OlafvdSpek schreef op 19 juli 2004 @ 20:02:
[...]

Iets?
Het is een van de zoniet de brakste oplossing.

NMe84 schreef op 19 juli 2004 @ 16:38:
Je snapt niet wat ik bedoel... Stel, er staat een script op je server dat deze regel bevat:

PHP:

1	include($_GET["file"]);

Erg onveilig, dat weet ik, maar er zijn zat scripts die dit hebben. Als een "hacker" nou een "jpg" uploadt met PHP code erin, en dan dat PHP script start met: "index.php?file=/upload/hack.jpg", dan wordt die code dus uitgevoerd en zijn de rapen gaar. En zo zijn er meer manieren om code uit te voeren...

AtleX schreef op 19 juli 2004 @ 16:07:
Je $_FILES[] bevat ook het mime-type, daar kan je op controleren.

NMe84 schreef op 19 juli 2004 @ 16:32:
Als je een php bestand uploadt met de jpg extensie, en er staat een script op de server dat include aan de hand van get data (bijvoorbeeld), dan zou dit een leak kunnen zijn. Helemaal zeker ben je nooit, maar je kan het beste naar het mime type kijken, en als je alleen maar images mag uploaden, dan zou je met de GD lib kunnen kijken of die images te openen zijn zonder fouten.

Geen enkele methode is natuurlijk echt 100% veilig...

[ Voor 8% gewijzigd door Soultaker op 19-07-2004 21:27 ]

Soultaker schreef op 19 juli 2004 @ 21:26:
Zeker wel: je exploitable code aanpassen. Het toepassen van allerlei overbodige controles is alleen maar zonde van je tijd en resulteert in rommelige ononderhoudbare code. Je kunt je tijd en moeite beter besteden aan het schrijven van veilige en beknopte code.

Soultaker schreef op 19 juli 2004 @ 21:26:
Op de suggesties van Sjord en Xenna ga ik niet eens in; die vallen in dezelfde categorie van "leuk geprobeerd, maar verspilde moeite".

NMe84 schreef op 19 juli 2004 @ 16:38:
[...]

Je snapt niet wat ik bedoel... Stel, er staat een script op je server dat deze regel bevat:

PHP:

1	include($_GET["file"]);

Erg onveilig, dat weet ik, maar er zijn zat scripts die dit hebben. Als een "hacker" nou een "jpg" uploadt met PHP code erin, en dan dat PHP script start met: "index.php?file=/upload/hack.jpg", dan wordt die code dus uitgevoerd en zijn de rapen gaar. En zo zijn er meer manieren om code uit te voeren...

Verwijderd schreef op 19 juli 2004 @ 22:28:
Das dan een erg domme hacker want hij kan net zo goed een .php file includen en zichzelf de moeite besparen.

Verwijderd schreef op 19 juli 2004 @ 22:28:
Das dan een erg domme hacker want hij kan net zo goed een .php file includen en zichzelf de moeite besparen.

Soultaker schreef op 19 juli 2004 @ 21:26:
Zeker wel: je exploitable code aanpassen. Het toepassen van allerlei overbodige controles is alleen maar zonde van je tijd en resulteert in rommelige ononderhoudbare code. Je kunt je tijd en moeite beter besteden aan het schrijven van veilige en beknopte code.

Op de suggesties van Sjord en Xenna ga ik niet eens in; die vallen in dezelfde categorie van "leuk geprobeerd, maar verspilde moeite".

[ Voor 8% gewijzigd door Verwijderd op 19-07-2004 23:05 ]

Verwijderd schreef op 19 juli 2004 @ 23:03:
'Leuk geprobeerd' klinkt meer als een beetje bluffen, en zoals iedereen weet heeft beveiligen niks met bluf te maken. Kaarten op de tafel dus, hoe ga jij mijn 'die' beveiliging kraken? ;-)

[ Voor 12% gewijzigd door Infinitive op 19-07-2004 23:20 ]

Verwijderd schreef op 19 juli 2004 @ 23:03:
Leg maar eens uit: Hoe kan een geuploade 'gif' met php code waar je <? die ?> voor zet nog als include exploit gebruikt worden? Het is een simpel trucje maar volgens mij lost het deze hypothetische exploit toch mooi op ;-)

'Leuk geprobeerd' klinkt meer als een beetje bluffen, en zoals iedereen weet heeft beveiligen niks met bluf te maken. Kaarten op de tafel dus, hoe ga jij mijn 'die' beveiliging kraken? ;-)

[ Voor 16% gewijzigd door Soultaker op 19-07-2004 23:21 ]

Verwijderd schreef op 19 juli 2004 @ 16:18:
Een server hacken door een JPEG te uploaden? Een JPEG wordt "automatisch uitgevoerd"?

Dinsdag, 27 april 2004 - Talentscout.nl, de site van Idols-juryvoorzitter Henkjan Smits, lijkt in grote haast in elkaar te zijn gezet. Hackers kwamen zonder veel moeite binnen.

Infinitive schreef op 19 juli 2004 @ 23:17:
Het probleem met dat ding van jouw is dat je bij het inladen dat stukje code er weer af moet knippen. Je kan dan geen include meer gebruiken om dat ding te openen.

Dit betekent dat je dus geen data aan het interpreteren bent, maar domweg aan het inladen (bijv. met fpasstrough() en varianten) en direct outputten. Maar dat alleen zorgt al voor het niet uitvoeren en dus was het zonder te knippen al veilig genoeg geweest. Ofwel, je beveiliging is overbodig en onnodig gecompliceerd

OneOfBorg:
Het includen van PHP files middels een ?action= attribuut is echt niet zo'n probleem, als je de invoer gewoon controleert voordat je 'm gebruikt.

Twee checks zijn voldoende:
* De .php extensie zet je niet in de parameter, maar plak je er _altijd_ achter.
* Bestaat het bestand (lokaal)?

[ Voor 21% gewijzigd door drm op 20-07-2004 09:41 ]

drm schreef op 20 juli 2004 @ 09:40:
[...]
1 Check is voldoende:
Bestaat de "include" in de array $my_valid_includes.

Verwijderd schreef op 20 juli 2004 @ 09:20:
Het includen van PHP files middels een ?action= attribuut is echt niet zo'n probleem, als je de invoer gewoon controleert voordat je 'm gebruikt.

Twee checks zijn voldoende:
* De .php extensie zet je niet in de parameter, maar plak je er _altijd_ achter.
* Bestaat het bestand (lokaal)?

1
2
3
4
5
6

<select name="view" onChange="document.myform.submit()">
  <option value="0" SELECTED>Collapsed tree</option>
  <option value="1">Expanded tree</option>
  <option value="2">A-Z list</option>
  <option value="3">Flat list</option>
</select>

1
2

$view=preg_replace('/\D+/','',$_REQUEST[view]);
include "view". $_REQUEST[$view] . ".php";

1
2
3
4
5
6
7
8

$views=Array('Collapsed tree','Expanded tree','A-Z list','Flat list');

if (!$views[$_REQUEST[view]]) die;

echo selectbox('view',$views,$_REQUEST[view],0,
        'onChange="document.myform.submit()"');

include "view". $_REQUEST[$view] . ".php";

[ Voor 13% gewijzigd door Verwijderd op 20-07-2004 09:48 ]

OneOfBorg:
Mjah... maar ik vind het vervelend om steeds zo'n array in mijn code aan te moeten passen als ik er weer een module bijmaak.

OneOfBorg:
En als je de modules altijd uit een directory haalt, vinnik 't een beetje loos om een array te maken. Je kan dan namelijk net zo goed meteen op schijf checken.

1

$view=preg_replace('/\D+/','',$_REQUEST[view]);

1

$view=(int)$_REQUEST[view];

Verwijderd schreef op 20 juli 2004 @ 10:08:
ik zou het checken met getimagesize... als je dan een grootte terug krijgt is het een plaatje, en anders iets anders dus

quote: http://nl3.php.net/include/

If "URL fopen wrappers" are enabled in PHP (which they are in the default configuration), you can specify the file to be included using a URL (via HTTP or other supported wrapper - see Appendix L for a list of protocols) instead of a local pathname.

[ Voor 83% gewijzigd door chem op 20-07-2004 10:22 ]

OlafvdSpek schreef op 20 juli 2004 @ 10:48:
Bestandsnamen van sub-scripts zijn toch implementatiedetails?
De beste oplossing is gewoon om die helemaal niet in URLs te stoppen, dan kun je ze ook nog eens wijzigen zonder dat oudere URLs (bookmarks, etc) invalid worden.

Verwijderd schreef op 20 juli 2004 @ 14:00:
Ja-aaaah... hoe wil je ze dan inladen?

Met een dik case-statement? Bleeehhh...

1
2
3
4
5
6
7
8

; Modules Config Options

; Enabling modules
[enabmods]
news    = true
forum   = true
pm      = false
members = true

[ Voor 41% gewijzigd door Grijze Vos op 20-07-2004 18:46 ]