Меню
Что нового?

Угроза от хакеров (помогите)

NetWork

Новичок
Угроза от хакеров (помогите)

Люди очень важная проблема.

Ну одним словом "хакеры".
У нас есть проект один баннерообменная сеть и как и в любой сети в нашу можно загружать баннеры.
Система определяет формат баннера и размеры вот так.

PHP: 
                $type=GetImageSize($SourceFilename);

                if (($type[2]!=1)and($type[2]!=2)and($type[2]!=3)and($type[2]!=4)and($type[2]!=13))
                {
                print '<li> <font color=red>Выбранный файл имеет неверный формат!</font>!';
                $err=1;
                }

                if (filetype($SourceFilename)<>"file")
                                {
                                print '<li> <font color=red>Это не файл</font>!';
                                $err=1;
                                }

                if (filesize($SourceFilename)>=25000)
                                {
                                print '<li> <font color=red>Баннер не может быть больше 25 кБт</font>!';
                                $err=1;
                                }
                if ($type[0]<>$width)
                                {
                                print "<li> <font color=red>Ширина баннера строго $width пикселей</font>!";
                                $err=1;
                                }
                if ($type[1]<>$height)
                                {
                                print "<li> <font color=red>Высота баннера строго $height пикселей</font>!";
                                $err=1;
                                }
                if ($err==0)
                        {
                        $resul= mysql_query("INSERT INTO banners (id_account,file_banner) VALUES ('$row[id]','$new_file_name')") or die("нельзя изменить текст, обратитесь к разработчикам");
                        print "<li> <font color=green>баннер загружен</font><br><Br>
                        <center>";
Но вот беда хакеры сказали и это не лож с их стороны. Короче дыра в проверке формата. Они могут взломать баннерку погрузив в неё баннер с инекцией php. При проверке баннерка говорит, что размеры не те, а формат тот, что нужно.
И мне сказали цитирую:

/----------------------------------------------------------------------

вообщем дыра в закачке баннеров

неправильный код

если хочеш я тебе покажу тока ничё не трону у тебя но если ты уберёш ограничение по размеру

просто подходяшего баннера щас нету

-------- какой формат ты грузишь?

php

ты не сможеш загрузить

но я смогу

если убрать на время огр на размер

я загружаю картинку в виде php кода вместе с инъекцией

и она проходит как картинка с расширением php хотя оно просто так не проходит

” ﶦИUKu — _&ЙQ 2 ќ?Ю R¦єФA~г с 2¤’–&#152;6Г.iUB\Ф" Щ7LЙћ°“Љь5–Хсa¦g–” О©yД…!(°›‹›gл‚Yьc™
WЄуЄ¦2КvђҐёL:а їC GYџ|y—Х°Бs-б„TЁTЭк—њќd|°t¤ ¤)DЪIWX оЎ Н‹FjъґФdпdМ)Z()yKx'Ja(Тmјх‹Шгќ ’ЩBРЋ`)…Ґs¤ы iЏ,?з.QрЯ љ еeSJ _Iс$‚І.w°c{cћ”J@зx P vШ{Џ-ыЩ*ДЩЌ
*2њЯв2чЫд-+KD&UЁ-1„Юwµрє§qZ ХЄй $ Ю=nq Х
щMИujЂ 6Хhц#эаоKILҐku
ye;LOX

вот такой код картинки примерно в php

----------------------------------------------/

Ну и опять я. Помогите реально важно. Покажите только, что и как. Сейчас время важнее всего.
 

NetWork

Новичок
Я вот так делаю, но при этом любой формат не верен.

PHP: 
                if (!eregi('\.(jpg|png|gif|swf)$',$file_banner) )
				{
 				print '<li> <font color=red>Недозволенное расширение файла. Пожалуйста используйте файл с расширениями .gif, .png, .jpg и swf</font>!';
 				$err=1;
				}
 

NetWork

Новичок
При загрузке скрипт должен пускать только форматы (jpg|png|gif|swf) , а тут он не пускает не эти и не другие. Любой другой.
 

Tor

Новичок
При загрузке скрипт должен пускать только форматы (jpg|png|gif|swf) , а тут он не пускает не эти и не другие. Любой другой.
Нажмите для раскрытия...
любой психиатр будет рад знакомству с тобой. и не тобой. любым тобой
 
Войдите или зарегистрируйтесь для ответа.
Сверху