Kommentare zu: PHP-Sicherheit – Upload-Funktion

Von: hsudhof

hsudhof — Tue, 28 Oct 2008 12:23:08 +0000

Nun, es handelt sich um ein halbdokumentiertes Feature des IE. Ich habe gerade keinen IE6 zur Hand, aber IE7 zeigt mir einen schönen JS Gruß – solange das Bild über HTTP kommt, also nicht im lokalen Dateisystem liegt.

In meinen Experimenten waren Kodierungen etc ungefährlich; dieses Verhalten tritt nur auf, wenn IE glaubt HTML vor sich zu haben – was er nur bei gewissen Bitmustern tut.

http://www.phpbb.com/blog/2008/10/25/attachment-headaches-with-the-internet-explorer/

Von: Mathias Bank

Mathias Bank — Tue, 28 Oct 2008 08:10:54 +0000

@hsudhof: Hab das jetzt nochmals bei mir getestet: getimagesize liefert tatsächlich die Informationen, dass es ein gültiges Bild ist, obwohl in der Datei JS-Code enthalten ist. Allerdings hat das Bild bei mir im IE6 keinerlei Auswirkung, JavaScript wird nicht ausgeführt.

Trotzdem danke für den Hinweis: dass das Bild überhaupt angenommen wird, ist schon ein kritischer Punkt. Jedoch bin ich derzeit am Zweifeln, ob ein String-Vergleich wirklich den gewünschten Effekt bringt. Das hat mehrere Gründe: zum einen ist es bei Bildern möglich, Texte zu hinterlegen (was hier dann zu fehlerhaften Ablehnungen führen würde), andererseits hindert es ja keinen Hacker, den JS-Code codiert einzufügen. Das würde sehr wahrscheinlich ja auch ausgeführt werden. Und alle Kodierungsmöglichkeiten abfragen?

Von: hsudhof

hsudhof — Mon, 20 Oct 2008 13:06:59 +0000

Nun, phpBB – in der aktuellen Inkarnation – hatte damit keine grösseren Probleme.
Getimagesize prüft nur den Header der Bildateien, aber selbst bei einer kompletten Verifikation löst dies das Problem nicht: selbst 100% valide Bilddateien (und andere Dateien) können Schadvektoren beinhalten.

Hier ein Beispiel:
http://asktheasshats.com/pub/hi.bmp (mit dem IE <= 7.0)

Ich bereite selbst gerade einen Blogpost über unsere Erfahrungen dahingehend vor, bis dahin:

http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx

und

http://christ1an.blogspot.com/2007/02/ms-mime-type-detection-prevention.html

Von: Mathias Bank

Mathias Bank — Mon, 20 Oct 2008 11:03:22 +0000

@hsudhof: Das finde ich jetzt eine äußerst interessante Bemerkung. Soweit ich die Problematik in Verbindung mit phpBB damals mitbekommen habe, prüft getimagesize nämlich das Bild wirklich darauf, ob das Bild korrekt ist. Und wenn ja, dann bekomme ich erst die Bildinformationen (wie Breite, Höhe, Typ, etc.). Hast du mir eine Quelle, wo ich deinen Einwand nochmals genauer folgen kann?

Von: hsudhof

hsudhof — Mon, 20 Oct 2008 10:28:11 +0000

Nun, im Grunde ist Dein Beitrag richtig, aber getimagesize reicht bei weitem nicht aus. Der Sachverhalt ist dieser: findet der IE in den ersten 255 Bytes der Datei HTML tags, so wird diese als HTML behandelt – unabhängig davon was der Server sagt. Ich kann Dir gerne gültige .bmp Dateien schicken, die der IE als HTML behandelt – etc.
Wobei früher noch GIFs, PNG,s und JPEGs auch für so etwas verwendet werden konnten, ist der IE7 nur noch bei manchen Bildformaten so leichtgläubig. IE8 ist besser, da er sich durch HTTP Header beeinflussen lässt, aer toll ist das auch nicht.

Für Anwendungsprogrammierer heisst das: Dateien nach HTML Tags scannen und gegebenenfalls zurückweisen – machen nur sehr wenige Scripte richtig.

Von: Michael

Michael — Fri, 05 Sep 2008 14:17:56 +0000

Sehr guter Artikel.
Hilft mir sehr bei meinem Bild Upload Skript.
Danke!

Von: Sam

Sam — Wed, 04 Apr 2007 13:26:22 +0000

Ein guter Tipp, vielen Dank!

Von: Björn

Björn — Fri, 27 Oct 2006 13:12:32 +0000

wollt mich schon seit 2 tagen dazu äußern aber noch nicht die zeit gefunden mir dieses getid3 anzuschauen..
sobald ich zeit hab..
mfg