0
Kayıt Ol

Php Upload Sisteminde Güvenlik Önlemleri Nasıl Alınmalıdır

10

926

  • 21-06-2014, 00:54:07
    #1
    OrhanBilge
    OrhanBilge
    Merhabalar,

    İnternette çokça aramama rağmen net bir bilgiye ulaşamadım (belki ulaştım ancak ben anlayamamış olabilirim). Bazı kişiler shell atmak için shell kodlarını resim formatına dönüştürerek upload ediyor gibi durumlar var bildiğiniz gibi.

    Bunları engellemek ve en güvenilir, en sağlıklı upload sistemini meydana getirmek için üretebileceğimiz en iyi çözüm yolunu benimle paylaşırsanız, bu konuya kafası takılan diğer insanlara da yardımcı olmuş olursunuz.

    Ayrıca alınabilecek başka güvenlik önlemlerini de paylaşırsanız sevinirim.

    Teşekkür ederim.
  • 21-06-2014, 00:57:19
    #2
    mydyga
    mydyga
    ÃœyeliÄŸi durduruldu
    upload ettiği an yukarda htpasswd mantıklı bir uyarı çıkartırsanız tamper ile bile atamazlar yada upload ettikten sonra resim ismini md5 gibi şifreleme yapın o zaan shell'i bulamazlar mesela
  • 21-06-2014, 01:50:45
    #3
    OrhanBilge
    OrhanBilge
    mydyga adlı üyeden alıntı: mesajı görüntüle
    upload ettiği an yukarda htpasswd mantıklı bir uyarı çıkartırsanız tamper ile bile atamazlar yada upload ettikten sonra resim ismini md5 gibi şifreleme yapın o zaan shell'i bulamazlar mesela
    Hocam bunlar mantıklı çözümler olsa da , pek benim işime yarayacak çözümler değil. Çünkü benim kullandığım dosya sisteminin sistemi, e-posta'ya eklenen ekler gibi düşünülmeli.

    Ya da şöyle diyelim,

    bir destek talep formu düşünelim. Bu destek talep formuna adam bir ek ekleyecek. İsmini şifrelesek olmaz. Dosyayı gizlesek de olmaz. Neticede ben de, destek talebini oluşturan kişi de daha sonradan o eki tekrar görüntülemek isteyebilir. Bu nedenle hem tekrar erişilebilecek şekilde olmalı hem de en güvenilir şekilde dosyayı karşıya transfer etmeli
  • 21-06-2014, 01:57:15
    #4
    yakoSin
    yakoSin
    Misafir
    Bi kere sunucuya almamak lazım bu tarz dosyaları, en azından büyük bölümünü engellemek lazım. Bunun için mime type iş görür diye düşünüyorum
    • samsunikinciel
    samsunikinciel bunu beÄŸendi.
    1 kiÅŸi bunu beÄŸendi.
  • 21-06-2014, 02:33:13
    #5
    Kiv
    Kiv
    ÃœyeliÄŸi durduruldu
    OrhanBilge adlı üyeden alıntı: mesajı görüntüle
    Merhabalar,

    İnternette çokça aramama rağmen net bir bilgiye ulaşamadım (belki ulaştım ancak ben anlayamamış olabilirim). Bazı kişiler shell atmak için shell kodlarını resim formatına dönüştürerek upload ediyor gibi durumlar var bildiğiniz gibi.

    Bunları engellemek ve en güvenilir, en sağlıklı upload sistemini meydana getirmek için üretebileceğimiz en iyi çözüm yolunu benimle paylaşırsanız, bu konuya kafası takılan diğer insanlara da yardımcı olmuş olursunuz.

    Ayrıca alınabilecek başka güvenlik önlemlerini de paylaşırsanız sevinirim.

    Teşekkür ederim.
    Api yapisi olan bir resim yukleme sitesine yukleyebilirsin resimleri bence Ornek api ile yapilmis bir resim scripti: www.ressim.net
  • 22-06-2014, 19:13:36
    #6
    OrhanBilge
    OrhanBilge
    Kiv adlı üyeden alıntı: mesajı görüntüle
    Api yapisi olan bir resim yukleme sitesine yukleyebilirsin resimleri bence Ornek api ile yapilmis bir resim scripti: www.ressim.net
    Hocam iyi güzel ama sadece resimler için mi güvenlik önlemleri almalıyım? Yani böyle bir açık, böyle bir tehlike sadece resim formatlarından mı ortaya çıkabilir? Örneğin biz sisteme tiff, office formatları gibi bir kaç uzantı kabul ediyoruz ancak güvenlik önlemini almamız gereken tek format yapısı resim türleri midir?
  • 22-06-2014, 22:31:10
    #7
    Kiv
    Kiv
    ÃœyeliÄŸi durduruldu
    OrhanBilge adlı üyeden alıntı: mesajı görüntüle
    Hocam iyi güzel ama sadece resimler için mi güvenlik önlemleri almalıyım? Yani böyle bir açık, böyle bir tehlike sadece resim formatlarından mı ortaya çıkabilir? Örneğin biz sisteme tiff, office formatları gibi bir kaç uzantı kabul ediyoruz ancak güvenlik önlemini almamız gereken tek format yapısı resim türleri midir?
    Kusura bakma ben resim olarak algiladim upload olayi denilince upload edilen dosyanin sunucudaki ismini bulunamayan bir isim yapin ve o klasorde php kodunu calistirma .htc kodunu ekleyin yeter bence
  • 22-06-2014, 22:47:26
    #8
    U_uR
    U_uR
    upload edilen klasörde php kodu çalıştırmamak için htaccess varsa bence yeterince iş görür gibi
  • 23-06-2014, 00:17:44
    #9
    Kiv
    Kiv
    ÃœyeliÄŸi durduruldu
    U_uR adlı üyeden alıntı: mesajı görüntüle
    upload edilen klasörde php kodu çalıştırmamak için htaccess varsa bence yeterince iş görür gibi 
    <FilesMatch "(php4|php|pl|cgi|ini)$">
order deny,allow
deny from all
</FilesMatch>
    bunu olusturdugun sayfaya birde index.html olustur..