PDA

View Full Version : سوال: هک از طریق آپلود عکس


billgivz
جمعه 28 آبان 1389, 17:26 عصر
سلام

به نظر شما میشه کد عکس رو طوری دستکاری کرد که پس از آپلود و لود تصویر از طریق url بشه پسوند عکس رو به php تبدیل کرد یا کاری دیگه از این قبیل انجام داد ؟
billgivz
جمعه 28 آبان 1389, 19:41 عصر
امنیت بیش از این چیزهاست , Logic متفاوت تر است ...

جان ...

ما که نفهمیدیم
alonemm
جمعه 28 آبان 1389, 19:56 عصر
اگه منظورتون تغییر اسم هست میشه اسم و پسوند رو عوض کرد اما از طریق URL فکر نکنم.
billgivz
جمعه 28 آبان 1389, 19:59 عصر
منظورم این طور کاراست

http://ha.ckers.org/images/finalgif.jpg
billgivz
جمعه 28 آبان 1389, 20:13 عصر
برادر عزیز , ما داریم در مورد وب سرویس و php صحبت می کنیم :گیج:

خوب داریم صحبت میکنیم

من میگم امکان اینکه یک طوری به عکس کدای php رو تزریق کنیم و از فیلتر چک کردن نوع تصویر زمان آپلود عبور دهیم و وقتی عکس آپلود شد اونوقت کدای php رو صدا بزنیم .


این امکان وجود داره اصلا چنین کار میشه کرد
binyaft
جمعه 28 آبان 1389, 20:28 عصر
مفسر PHP فقط فایلهایی رو تفسیر میکنه که براش تعریف شده باشه! مثل .php
cybercoder
شنبه 29 آبان 1389, 00:49 صبح
زمانی این کار رو میکردند اما نه به این صورت

فرض کنید شما می خواهید به سایت A حمله کنید و میزبانی اش بر روی هاستی به صورت اشتراکیست بنابراین بر روی آن هاست قدری فضا می گرفتید و می توانستید برخی عملیات نظیر همون shell command ها و ... را انجام بدید.
البته الان دیگه هاست های share هم این مسائل رو رعایت می کنند مگه این که دیگه خیلی درپیت باشند.

اما بدین صورت که شما می فرمایید همان طور که سایر دوستان فرمودند امکانپذیر نیست که کل وب به خطر می افتد. :چشمک:
موفق باشید.
eshpilen
یک شنبه 30 آبان 1389, 09:18 صبح
همه چيز ممكنه. ولي بعضي چيزا احتمالش خيلي كمه. بعضي چيزها تنها درصورتي كه اشتباهات بزرگ و ناشيانهء خاصي از طرف برنامه نويس يا ادمين سرور صورت گرفته باشن كه هكر بفهمه ميتونن مورد سوء استفاده قرار بگيرن.
فرض كنيد مثلا طرف براي هندل كردن تصاوير كپچا با پسوند gif بياد و تنظيمي رو در فايل پيكربندي آپاچي قرار بده كه فايلهاي gif توسط مفسر PHP هندل بشن. يعني به اينصورت طرف ميتونه چنين چيزي بنويسه: <img src="captcha/code.gif">. در اينجا فايل code.gif درواقع يك فايل محتوي دستورات PHP هست. خب يه هكر هم ميتونه اين مسئله رو كشف و ازش سوء استفاده كنه. ولي احتمال اين اشتباه و ناشيگري و احتمال سوء استفادهء موفقيت آميز ازش، در مجموع خيلي كم هست؛ اما غيرممكن هم نيست. از اينطور مسائل رخ دادن و ميدن. اشتباه و افراد ناشي زياد هستن.
گذشته از اين بعضي وقتها چيزهايي كه فكرش رو نميكنيد هم وجود دارن. گاهي بخاطر باگهاي خاصي در سيستمها.