petroff 648 Posted July 31, 2018 Report Share Posted July 31, 2018 Вроде появлялся не так давно вирус какой то, который вшивался в картинки или загружался на сайт в картинке или как то так, или мне приснилось? Вопрос к тому, что если это так, то может ли пользователь при создании скажем поста, загрузить с фронтенда такую вирусную картинку? Quote Link to post Share on other sites
Модератор files 2827 Posted July 31, 2018 Модератор Report Share Posted July 31, 2018 Цитата Вроде появлялся не так давно вирус какой то, который вшивался в картинки или загружался на сайт в картинке или как то так, или мне приснилось? Можно php в jpg переименовать (для шифрования) и вызывать на сервере. Можно прятать куски чего-то там в коде картинки и с чем-то там смешивать. Но чтобы картинкой что-то там поломать - сомнительно. ToneR 1 Quote Link to post Share on other sites
petroff 648 Posted July 31, 2018 Author Report Share Posted July 31, 2018 3 минуты назад, files сказал: Можно php в jpg переименовать (для шифрования) и вызывать на сервере. Можно прятать куски чего-то там в коде картинки и с чем-то там смешивать. Но чтобы картинкой что-то там поломать - сомнительно. Относительно недавно была статья про эти вирусы-картинки вроде на хакере, но не уверен. Постараюсь завтра найти. Хорошо, если переименовываем php или js в jpeg, загружаем, выполняем. Имея нужный скрипт теоретически можно заразить любой сайт хоть через форму комментариев, так? Как быть? А если у меня фронтенд, который позволяет прикреплять любые документы, так вообще беда тогда. Т.к. этот и множество других форумов еще не взломаны, значит есть какие то решения?! Quote Link to post Share on other sites
Beauty 172 Posted July 31, 2018 Report Share Posted July 31, 2018 34 минуты назад, petroff сказал: Относительно недавно была статья про эти вирусы-картинки вроде на хакере, но не уверен. Постараюсь завтра найти. Хорошо, если переименовываем php или js в jpeg, загружаем, выполняем. Имея нужный скрипт теоретически можно заразить любой сайт хоть через форму комментариев, так? Как быть? А если у меня фронтенд, который позволяет прикреплять любые документы, так вообще беда тогда. Т.к. этот и множество других форумов еще не взломаны, значит есть какие то решения?! Ставите запрет на выполнение скриптов в папке /uploads и радуетесь Quote Link to post Share on other sites
Beauty 172 Posted July 31, 2018 Report Share Posted July 31, 2018 Кстати вспомнил второй вариант, это грузить картинки в CDN где php отключен вообще Quote Link to post Share on other sites
petroff 648 Posted July 31, 2018 Author Report Share Posted July 31, 2018 7 минут назад, Beauty сказал: Ставите запрет на выполнение скриптов в папке /uploads и радуетесь Ну и как это сделать если php/js переименован в другой формат Quote Link to post Share on other sites
Модератор files 2827 Posted August 1, 2018 Модератор Report Share Posted August 1, 2018 При загрузке проверяется тип документа, загрузить фальшивую фотографию в реальных условиях - не так просто. Даже если и загрузили, нужны ещё условия, чтобы код заработал. petroff 1 Quote Link to post Share on other sites
TCTF 9 Posted August 1, 2018 Report Share Posted August 1, 2018 12 часа назад, petroff сказал: Вроде появлялся не так давно вирус какой то, который вшивался в картинки или загружался на сайт в картинке или как то так, или мне приснилось? Вопрос к тому, что если это так, то может ли пользователь при создании скажем поста, загрузить с фронтенда такую вирусную картинку? Не то что не так давно, а очень давно. Самый просто способ вшить вредонос в exif, соответственно при приёме изображений нужно удалять exif. Ну и права на все файлы с директориями 644. petroff 1 Quote Link to post Share on other sites
petroff 648 Posted August 1, 2018 Author Report Share Posted August 1, 2018 11 час назад, files сказал: Можно php в jpg переименовать (для шифрования) и вызывать на сервере. Можно прятать куски чего-то там в коде картинки и с чем-то там смешивать. Но чтобы картинкой что-то там поломать - сомнительно. 11 час назад, petroff сказал: Относительно недавно была статья про эти вирусы-картинки вроде на хакере, но не уверен. Постараюсь завтра найти Статью не нашел, зато инструкций "как сделать фото с вирусом внутри" полно На серче нашел несколько похожих тем. В общем, если движок не самопись, то скорее всего загружаемые файлы проверяются Quote Link to post Share on other sites
Модератор files 2827 Posted August 1, 2018 Модератор Report Share Posted August 1, 2018 Цитата В общем, если движок не самопись, то скорее всего загружаемые файлы проверяются Естественно, при загрузке из формы любого файла должен проверятся mime-type, соответствие расширению и т.д. - если речь идет о сапомописах. Все эти защиты реализованы практически во всех движках. petroff 1 Quote Link to post Share on other sites
INWOXER 75 Posted August 1, 2018 Report Share Posted August 1, 2018 Видел вирусные картинки, которые имею огромнейшее расширение, что приводит к разного рода глюкам. А в инфе о картинке указан небольшой размер petroff 1 Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.