Sicherheitslöcher durch php-bildscripts

[dave_]

Wie kann man verhindern, dass jemand durch externe bilder (die können ja sogar die endung .jpg haben, muss man nur am parser einstellen dass php sie berechnet) scripts ausgeführt werden?

Man kann cookies damit auslesen und sogar mysql queries ausführen

Gibt es da irgend eine einstellung die diese externen scripts einfach verbietet?

 

[Neurodeamon]

Ähm.. ja?
Seit wann wird die Endung .jpg von php geparst? Das hast Du doch nicht etwas im Webserver eingestellt?

Sollte kein Problem sein.

Man kann generell Verbieten:
http://de3.php.net/manual/de/ref.filesystem.php#ini.allow-url-fopen

Ansonsten kann man bei lokalen dateien leicht herausfinden ob bild oder nicht !
http://de3.php.net/manual/de/function.exif-imagetype.php

 

[dave_]

Nein ich habe natürlich nicht eingestellt das jpg mit php geparsed wird

Es geht hier ja um externe bilddateien, die mit dem ubb code verlinkt werden

Wenn ich allo_url_fopen deaktiviere, sollte es dann nicht mehr möglich sein die scripts auf dem server auszuführen?

wenn ich extern in eine .php datei schreibe

print "test";

wird das dann aber schon noch bei der verlinkung ausgegeben?

 

[Neurodeamon]

Grundlegend sollte man in Foren Javascript & Co. ausschalten und den BBCode verwenden, der "eigentlich" die Gefahr stark eindämmen sollte.

Es gibt natürlich noch ein paar Ärgernisse mit PHP, ich meine Programmierfehler in Scripten. Das ist NICHT "XSS" (Cross-Site-Scripting)!!!

Grundsätzlich ist es nicht möglich externe Dateien auf Deinem Server auszuführen. Das passiert nur bei der Verwendung von include & Co. - also immer wenn Daten von außerhalb auf Deinen Server kommen (bzw. geholt werden) und ANSCHLIEßEND geparst.

Wenn ich Dich richtig verstehe, sitzt Du einem Fehler auf:

Wenn Du eine Datei von außerhalb des Servers verlinks, wird die Datei nicht bei Dir ausgeführt, sondern auf dem Server wo sich die Datei befindet. Kann dieser Server kein php, wirst Du den Inhalt der Textdatei im Browser lesen können, aber es wird nix ausgeführt. PHP -> serverseitig / JS & Co. -> Clientseitig.

Wenn man nun in Deinem Forum Javascript und HTML verwenden kann, so kann jemand mit XSS Dinge beim USER (nicht auf dem Server) anstellen.

INFO:
http://www.cgisecurity.com/articles/xss-faq.shtml

 

[dave_]

Mich hats ja auch gewundert, aber es war definitiv möglich mit verlinkten php bildern code auf unserem server auszuführen

Es wurde daten in die Datenbank geschrieben, mit dieser verlinkten bilddatei

allow_url_fopen war leider noch an, ich dachte das wurde wieder deaktiviert

ich teste das heute mal