kostenloser Webspace werbefrei: lima-city


Hacksicheres Bild-Upload Script?

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    g******r

    Hallo Zusammen,

    Ich suche ein Hack-Sicheres bzw. Sicheres Bilduploadscript. Das Biilduploadscript sollte schon Vorgefärtigt sein, habt ihr da Irgedwelche Tipps, Linkls oder sogar Skripte?

    mfg
    gatterer
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hi, hab da mal was gefunden, was mir schon früher geholfen hat.

    http://www.php-space.info/bilder-upload-script/

    Vielleicht hilft dir das weiter.

    Frage: Was meinst du mit sicher?
  4. Autor dieses Themas

    g******r

    gerwald schrieb:
    Hi, hab da mal was gefunden, was mir schon früher geholfen hat.

    http://www.php-space.info/bilder-upload-script/

    Vielleicht hilft dir das weiter.

    Frage: Was meinst du mit sicher?


    Genau dieses Script wurde Gehackt^^
  5. kochmarkus

    Co-Admin Kostenloser Webspace von kochmarkus

    kochmarkus hat kostenlosen Webspace.

    gatterer schrieb:
    gerwald schrieb:
    Hi, hab da mal was gefunden, was mir schon früher geholfen hat.

    http://www.php-space.info/bilder-upload-script/

    Vielleicht hilft dir das weiter.

    Frage: Was meinst du mit sicher?


    Genau dieses Script wurde Gehackt^^



    Tschuldigung :angel:, aber das war ja sowas von trivial zum kaputtmachen, da kann man ja gar nicht von hacken/cracken sprechen.
  6. Autor dieses Themas

    g******r

    kochmarkus schrieb:
    gatterer schrieb:
    gerwald schrieb:
    Hi, hab da mal was gefunden, was mir schon früher geholfen hat.

    http://www.php-space.info/bilder-upload-script/

    Vielleicht hilft dir das weiter.

    Frage: Was meinst du mit sicher?


    Genau dieses Script wurde Gehackt^^



    Tschuldigung :angel:, aber das war ja sowas von trivial zum kaputtmachen, da kann man ja gar nicht von hacken/cracken sprechen.


    Gbt es dann eigentlich ein Sicheres script?
  7. o******e

    Hallo,

    klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.

    Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.

    Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
    Ich werde das Gefühl nicht los das du eine uralte Version hast.

    lg
    Oleander
  8. kochmarkus

    Co-Admin Kostenloser Webspace von kochmarkus

    kochmarkus hat kostenlosen Webspace.

    olearose schrieb:
    Hallo,

    klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.

    Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.

    Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
    Ich werde das Gefühl nicht los das du eine uralte Version hast.

    lg
    Oleander


    Tja, das nützt aber auch nicht viel, wenn eine Funktion zum Bilder löschen eingebaut ist, und ein »Löschlink« nach dem Schema: http://example.com/bilder/index.php?file=bild.png&delete=1 aufgebaut ist und man den Dateinamen beliebig verändern kann.
  9. kochmarkus schrieb:
    olearose schrieb:
    Hallo,

    klar gibt es ein bis zu einem gewissen Maß "Hack-sicheres" Script.

    Du musst mit Hilfe der GD-Lib oder anders komplett Server seitig und nicht mit Hilfe der HTTP Headern die der CLIENT überträgt checken was das für eine Datei ist.

    Das Upload Script von PHP-Space macht das eigentlich genau so, also über die GD-Lib.
    Ich werde das Gefühl nicht los das du eine uralte Version hast.

    lg
    Oleander


    Tja, das nützt aber auch nicht viel, wenn eine Funktion zum Bilder löschen eingebaut ist, und ein »Löschlink« nach dem Schema: http://example.com/bilder/index.php?file=bild.png&delete=1 aufgebaut ist und man den Dateinamen beliebig verändern kann.

    Das ist auch ausgesprochen.... ^^


    Also generell zum Upload, worauf du achten musst:
    - prüfe ob die Datei tatsächlich ein Bild ist
    -- HTTP Header checken
    -- mit PHP den Mime Type auslesen und nur eine Whitelist erlauben (z.B. Whitelist: gif, jpeg, png)
    -- Größe und andere Variablen checken und ggf. verkleinern oder direkt abweisen (sonst hat du nachher ein Archiv als Bild getarnt auf deinem Space)
    - prüfe den Namen des Bildes
    -- es darf keine Sonderzeichen für Pfade vorhanden sein! => Funktion zum Auslesen des kanonischen Pfad auf den Dateinamen anwenden
    -- die Dateiendung checken und ggf. abändern
    -- den Dateinamen checken, ob das Bild nicht schon vorhanden ist
    - das Bild nicht öffentlich zugänglich abspeichern
    -- d.h. ein extra Verzeichnis erstellen
    -- ein PHP Script erstellen, welches an Hand eines Paramters das Bild ausliest und dann mit dem richtigen Mime Type zurückgibt - dadurch verhinderst du, dass der Apache erst gar nicht in Versuchung kommt das Bild zu parsen

    Sooo, viel Spaß: ;o
  10. Autor dieses Themas

    g******r

    Danke für dei Anworten^^

    Huch... is das alles Kompliziert:confused:

    Gibt es nicht schon ein Vertiges sicheres Script?:wow:
    lg
    gatterer
  11. Haii x3,
    ich benutze schon seit langem das Script Verzeichniss Dreamcodes.
    Dort ist alles sehr übersichtlich und kategorisch aufgeteilt.
    Ebenso gibt es dort eine menge Scripts.
    Schau es dir einfach mal an.
    www.dreamcodes.de


    Mit freundlichem Gruß:
    Marcel
  12. Hallo gatterer

    Ich möchte grundsättzlich etwas zum Thema "Hack-Sicher" einbringen:

    Komplett sicher zu gestalten ist und wird nie möglich sein. Dies ist technisch nicht möglich. Aber dass ist nicht der Kern meiner Aussage. Ich möchte dir sagen, dass es kein Signet, Bestätigung oder ähnliches gibt gegen die hackbarkeit eines Scriptes.

    Da ein Upload-Script relativ einfach zu erstellen ist, sind viele der dargebotenen Script von Hobby-Entwickler programmiert worden. Meinen Erfahrungen nach sind sogut wie jedes solcher script (sher) anfällig auf Angriffe, da dies meist viel zu wenig getestet wird.

    Wenn du also ein hack-sicheres Script suchst, musst du jedes Script, dass in Betracht kommt, selber testen.
    Dazu gibt es Richtlinien und Testläufe zu fast jeder Sprache verfügbar, google liefert dir sicher treffer. Schaue dir am gründlichsten die Werte-Übergaben an (werden die werte auf z.b. sql-code überprüft, was passiert bei nicht erwarteten inputs etc). Denke daran nicht nur GET-Variabeln anzuschauen, sondern auch POST - den TCP/IP Päkchen können einfach manipuliert werden und somit andere Werte bei z.b. einem hidden-feld übermitteln, als gedacht. Wenn dann sogar noch eine serverseitige Fehlermeldung angezeigt wird, hat ein Hacker grosse Chancen... Allerdings ist ein Script komplett zu prüfen eine Meisteraufgabe, die sehr viel Zeit in Anspruch nimmt.

    Somit bist du der einzige, der dir eine Garantie auf die Stabilität des Scriptes geben kann.

    Cheers, Sublime aka All-Web
  13. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!