Форум

Nexus · #1 (**permalink**) 21.08.2017, 17:36

Здравствуйте.

Подскажите, пожалуйста, условия выполнения php-скрипта в файле изображения?
Имеется ввиду код, который был помещен в файл, который описывает какое-нибудь изображение.
Ссылки приветствуются.

Заранее благодарю.

Nexus · #2 (**permalink**) 22.08.2017, 09:24

Сообщение от Rise

Nexus,
Ты это о чем?)

Я о image injection, при каких условиях сервер может выполнить код, который будет добавлен к коду изображения?

Белый шум · #3 (**permalink**) 22.08.2017, 10:54

https://habrahabr.ru/post/148999/ (если речь про то что я подумал)

Nexus · #4 (**permalink**) 22.08.2017, 11:15

Белый шум, спасибо, но не то.
Интересует не то, как правильно нужно обрабатывать данные полученные от пользователя, а именно в каких случаях инъекция может быть выполнена сервером.
Пока что думаю, что сервер вряд ли вообще когда-либо выполнит код инъекции, если гениальный разработчик не подгрузит картинку функцией include и ей подобными.

Upd. пробежался по тексту статьи, ответ на вопрос в некоторой степени присутствует, еще раз спасибо.

laimas · #5 (**permalink**) 22.08.2017, 12:13

http://www.securitylab.ru/analytics/456285.php

Сообщение от Nexus

сервер вряд ли вообще когда-либо выполнит код инъекции, если гениальный разработчик не подгрузит картинку функцией include и ей подобными

Картинка может быть только местом хранения, а как запустить, это уже иной вопрос.

https://xakep.ru/2013/07/17/60928/
https://xakep.ru/2012/10/01/php-vulnerabilities/
https://xakep.ru/2012/11/22/php-filter-wrapper-attacks/

Nexus · #6 (**permalink**) 22.08.2017, 12:32

laimas, спасибо.

rgl · #7 (**permalink**) 28.08.2017, 17:55

Сообщение от Nexus

..., если гениальный разработчик не подгрузит картинку функцией include и ей подобными.

А при чем тут картинка? includ'ом можно подгрузить все, что угодно, хоть простой текстовый файл, и если там будет <?php вредительский код, то без всяких картинок...
Насколько я знаю, сейчас у сервера есть две разные настройки, allow_url_fopen и allow_url_include вторую надо безжалостно запрещать, раньше была только первая, и если ее запретить, то нельзя было скачать файл по http функцией file_get_contents, а если разрешить, то и поинклюдить можно. Сейчас разнесли, что правильно...

Nexus · #8 (**permalink**) 28.08.2017, 18:01

Сообщение от rgl

А при чем тут картинка? includ'ом можно подгрузить все, что угодно, хоть простой текстовый файл, и если там будет <?php вредительский код, то без всяких картинок...

Контейнером может быть любой файл, картинку выбрал, как наиболее популярный тип файла, получаемый от клиента.

Nexus · #9 (**permalink**) 29.08.2017, 09:39

Сообщение от Rise

А ты не пиши так и запрещать не придется

:

include $_GET['welcome'];

Ты смеешься, а ведь наверняка кто-нибудь так да делает)

Форум

Справочник

Discord чат

Курсы javascript