Dotaz pre odbornika v PC grafike

Vše, co se netýká hudebního šílenství, MIDI a audia
Uživatelský avatar
bassline
Příspěvky: 2737
Registrován: 22 zář 2005 16:21

Re: Dotaz pre odbornika v PC grafike

Příspěvek od bassline »

Ak vela sposobov nie je, tak potom ok...Asi to necham tak...Myslel som ze hackeri su tak zdatni, ze by sa dokazali dostat do skryteho kodu aj ked mas vyssie vymenovane veci bezpecnostne poriesene...

No kazdopadne, cez GD funkciu sa uistim ze uploadujem funkcny obrazok, fileinfo alebo getimagesize verifikuje len uvodne sekvencie, uz nezistis ci obrazok nie je niekde vo vnutri poskodeny. Takze mam istotu ze som uploadol funkcny obrazok ktory sa zobrazi.

Uživatelský avatar
bassline
Příspěvky: 2737
Registrován: 22 zář 2005 16:21

Re: Dotaz pre odbornika v PC grafike

Příspěvek od bassline »

dendy píše:
inak k tvojej otazke - otvor gif v GIMPe, napis si php,kod ako komment k obrazku a sejvni ... ale hovorim - zbytocne riesis veci ktore nie su issue...

a btw. samozrejme kazde procesovnie ce gdlib, aj ked len vytvorismsubor a hned ho sejvnes ci posles do browsera, tieto metadata samozrejme odpali...
No jasne, ved pre comment extensions to mam otestovane. Otazka v tejto teme je ohladne tohto:

Plain Text Extensions are optional and more than one may be present. They were designed to allow rendering of textual data as a graphic. The beginning of this block has the Extension Introducer and a Comment Label 01 (hex). Plain text data has a sequence of sub-blocks between 1 and 255 bytes in length, with the size in a byte before the data.

Ale ako hovoris, mam nastavene viacere vrstvy bezpecnosti takze aj keby to tam ostalo so skodlivym kodom, tak sa k tomu snad neda tak lahko dostat a skript nejakym sposobom spustit, ako hovoris...Takze na to potom kaslem to testovat.

Uživatelský avatar
Pytkin
Moderátor
Příspěvky: 22153
Registrován: 23 kvě 2002 16:23

Re: Dotaz pre odbornika v PC grafike

Příspěvek od Pytkin »

no ved prave si vobec neviem predstavit , ako sa to da zneuzit .. to co popisal bassline som nepochopil ..
a dendy .. aj keby si dal require subor.gif , tak ti predsa binarne data z gifu vlozi do kodu .. cize to padne na chybe .. ci myslis ze by si vytiahol prave tie meta data ?

Uživatelský avatar
dendy
Příspěvky: 13816
Registrován: 12 črc 2002 11:16
Vybavení

Re: Dotaz pre odbornika v PC grafike

Příspěvek od dendy »

nie, requirnuty subor sa nespracuva cely ako php.. len to co mas vo vnutri tagov <?php .... ?> ... takze ten binarny bordel ti proste vypluje do browsera a len php kod zbehne...

Uživatelský avatar
Pytkin
Moderátor
Příspěvky: 22153
Registrován: 23 kvě 2002 16:23

Re: Dotaz pre odbornika v PC grafike

Příspěvek od Pytkin »

dendy : jo pravda pravda .. to ale tie data potom vobec nemusia byt v ziadnom metatagu .. proste mozu byd uplne hocikde .. v hociktorej casti suboru .. akurat samozrejme , naco je komu include (obrazok.gif) .. to je zahada :D

Uživatelský avatar
dendy
Příspěvky: 13816
Registrován: 12 črc 2002 11:16
Vybavení

Re: Dotaz pre odbornika v PC grafike

Příspěvek od dendy »

pytkin k poslednej otazke: checkni http://www.hovnokod.cz ... ludia su schopny spravit v kode take zvrhlosti ze include obrazok je este jedna z normalnych veci :-)))

Uživatelský avatar
Pytkin
Moderátor
Příspěvky: 22153
Registrován: 23 kvě 2002 16:23

Re: Dotaz pre odbornika v PC grafike

Příspěvek od Pytkin »

dendy : hehe .. pekna domena :)

Uživatelský avatar
bassline
Příspěvky: 2737
Registrován: 22 zář 2005 16:21

Re: Dotaz pre odbornika v PC grafike

Příspěvek od bassline »

Pytkin píše: to ale tie data potom vobec nemusia byt v ziadnom metatagu .. proste mozu byd uplne hocikde .. v hociktorej casti suboru ..
Mozu, ale to sa potom obrazok chova ako poskodeny.
dendy píše:...takze aj keby si mal gif v ktorom je php kod, ked das <img src="subor.gif"> nic sa nedeje ...
A co robi presne <img> tag ? Spusti dekoder browsera, ktory nalezite spracuje data zo suboru pre zobrazenie grafiky ? Teoreticky ak by niekto nasiel vulnerability v tom dekoderi, tak by stacilo vlozit do metadat obrazku nejaky JS skript ktory by sa mohol po nacitani infikovaneho obrazku v browseri spustit...ci nie ?
Z preventivneho hladiska mi pripada ok ak si ponechas na serveri obrazky bez povodnych metadat, takto mas istotu ze v suboroch na serveri nemas nic co by tam nemalo byt. Tak snad az taka zbytocna praca to nie je, nekaz mi radost :mrgreen: :mrgreen: :mrgreen: Inac predpokladam ze GD budem potrebovat aj na resize obrazkov, takze pri uploade sa aspon uistim ze GD kniznica funguje a je k dispozicii a v pripade nejakej chyby hodim exception...

Uživatelský avatar
Pytkin
Moderátor
Příspěvky: 22153
Registrován: 23 kvě 2002 16:23

Re: Dotaz pre odbornika v PC grafike

Příspěvek od Pytkin »

bassline : ale moze to byt tym padom aj v commente ..

Uživatelský avatar
charonme
Příspěvky: 1261
Registrován: 01 říj 2008 09:26

Re: Dotaz pre odbornika v PC grafike

Příspěvek od charonme »


Odpovědět