Ak vela sposobov nie je, tak potom ok...Asi to necham tak...Myslel som ze hackeri su tak zdatni, ze by sa dokazali dostat do skryteho kodu aj ked mas vyssie vymenovane veci bezpecnostne poriesene...
No kazdopadne, cez GD funkciu sa uistim ze uploadujem funkcny obrazok, fileinfo alebo getimagesize verifikuje len uvodne sekvencie, uz nezistis ci obrazok nie je niekde vo vnutri poskodeny. Takze mam istotu ze som uploadol funkcny obrazok ktory sa zobrazi.
Dotaz pre odbornika v PC grafike
Re: Dotaz pre odbornika v PC grafike
No jasne, ved pre comment extensions to mam otestovane. Otazka v tejto teme je ohladne tohto:dendy píše:
inak k tvojej otazke - otvor gif v GIMPe, napis si php,kod ako komment k obrazku a sejvni ... ale hovorim - zbytocne riesis veci ktore nie su issue...
a btw. samozrejme kazde procesovnie ce gdlib, aj ked len vytvorismsubor a hned ho sejvnes ci posles do browsera, tieto metadata samozrejme odpali...
Plain Text Extensions are optional and more than one may be present. They were designed to allow rendering of textual data as a graphic. The beginning of this block has the Extension Introducer and a Comment Label 01 (hex). Plain text data has a sequence of sub-blocks between 1 and 255 bytes in length, with the size in a byte before the data.
Ale ako hovoris, mam nastavene viacere vrstvy bezpecnosti takze aj keby to tam ostalo so skodlivym kodom, tak sa k tomu snad neda tak lahko dostat a skript nejakym sposobom spustit, ako hovoris...Takze na to potom kaslem to testovat.
Re: Dotaz pre odbornika v PC grafike
no ved prave si vobec neviem predstavit , ako sa to da zneuzit .. to co popisal bassline som nepochopil ..
a dendy .. aj keby si dal require subor.gif , tak ti predsa binarne data z gifu vlozi do kodu .. cize to padne na chybe .. ci myslis ze by si vytiahol prave tie meta data ?
a dendy .. aj keby si dal require subor.gif , tak ti predsa binarne data z gifu vlozi do kodu .. cize to padne na chybe .. ci myslis ze by si vytiahol prave tie meta data ?
Re: Dotaz pre odbornika v PC grafike
nie, requirnuty subor sa nespracuva cely ako php.. len to co mas vo vnutri tagov <?php .... ?> ... takze ten binarny bordel ti proste vypluje do browsera a len php kod zbehne...
Re: Dotaz pre odbornika v PC grafike
dendy : jo pravda pravda .. to ale tie data potom vobec nemusia byt v ziadnom metatagu .. proste mozu byd uplne hocikde .. v hociktorej casti suboru .. akurat samozrejme , naco je komu include (obrazok.gif) .. to je zahada 
Re: Dotaz pre odbornika v PC grafike
pytkin k poslednej otazke: checkni http://www.hovnokod.cz ... ludia su schopny spravit v kode take zvrhlosti ze include obrazok je este jedna z normalnych veci 
))
))Re: Dotaz pre odbornika v PC grafike
dendy : hehe .. pekna domena
Re: Dotaz pre odbornika v PC grafike
Mozu, ale to sa potom obrazok chova ako poskodeny.Pytkin píše: to ale tie data potom vobec nemusia byt v ziadnom metatagu .. proste mozu byd uplne hocikde .. v hociktorej casti suboru ..
A co robi presne <img> tag ? Spusti dekoder browsera, ktory nalezite spracuje data zo suboru pre zobrazenie grafiky ? Teoreticky ak by niekto nasiel vulnerability v tom dekoderi, tak by stacilo vlozit do metadat obrazku nejaky JS skript ktory by sa mohol po nacitani infikovaneho obrazku v browseri spustit...ci nie ?dendy píše:...takze aj keby si mal gif v ktorom je php kod, ked das <img src="subor.gif"> nic sa nedeje ...
Z preventivneho hladiska mi pripada ok ak si ponechas na serveri obrazky bez povodnych metadat, takto mas istotu ze v suboroch na serveri nemas nic co by tam nemalo byt. Tak snad az taka zbytocna praca to nie je, nekaz mi radost
Inac predpokladam ze GD budem potrebovat aj na resize obrazkov, takze pri uploade sa aspon uistim ze GD kniznica funguje a je k dispozicii a v pripade nejakej chyby hodim exception...Re: Dotaz pre odbornika v PC grafike
bassline : ale moze to byt tym padom aj v commente ..
Re: Dotaz pre odbornika v PC grafike
na ciastoce suvisiacu temu: http://blog.sucuri.net/2014/02/new-ifra ... adata.html
