[ Kerim O @ 08.03.2012. 18:24 ] @
|
| Pozdrav svima. Jako ne rado ovo pišem medjutim drugar me je zamolio a nema nalog da napišem post na ovom forumu. Ono što se dešava je da mu neko stalno uploaduje razne shell skripte. Danas sam malo pročačkao i našao jednu. Medjutim znam da se opet vrlo lako može uplodavati. Ja sam početnik ionako,medjutim čitao sam pomalo o nekim stvarima.
Sasvim siguran sam da c99 shell skripta uploaduje preko neke od forme. Medjutim kod je totalno ne organizovan što mi otežava da pokušam pronaći problem. Ono što mi sada je treba savjet da li postoji neko "brzo" rješenje u vidu da se u .htaccess fajl stavi možda stavi jpg gif i još neka osnovna ekstenzija.
Postoji klijent validacija kod upload-a slika,medjutim znam da se može zaobići. E ada me zanimaju savjeti,najbolje bi bilo da se može srediti sa .htaccess fajlom bar,da se ne može tek tako defjsati sajt.
Hvala puno |
[ PHPovac @ 08.03.2012. 18:27 ] @
Koristi pretragu, bila je jako slična tema malo ranije. Ukratko neka proveri ekstenziju uploadovanog fajla NA SERVERU.
[ Kerim O @ 08.03.2012. 18:39 ] @
Mogao bi. ja iskodirati da provjeri veličinu,ekstenziju,content-type i tako neke osnovne stvari. Ono što je problem je što mi treba hitno rješenje a predpostavio sam da bi se to moglo jedino uraditi sa .htaccess fajlom. Jer hoće da pusti sajt što prije.. Problem je jer sam tek maloprije dobio kod..
[ PHPovac @ 08.03.2012. 18:41 ] @
Ne verujem da .htaccess može sprečiti korisnika da putem php skripte uploaduje shell script...
[ ivan.a @ 08.03.2012. 21:37 ] @
Jedino što mi pada napamet u vezi .htaccess jeste da zaštitiš folder gde se slike uploaduju:
Code:
Options -Indexes
Options -ExecCGI
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi .html
Na ovaj način neće moći da pokrene skriptu iako uspe da je uploaduje.
[ Kerim O @ 08.03.2012. 22:29 ] @
Oni koji se malo bolje razumiju da li bi mi ovo moglo pomoći
Code:
deny from all
<Files ~ "^\w+\.(gif|jpe?g|png)$">
order deny,allow
allow from all
</Files>
Sa ovog upustva[ cyBerManIA @ 08.03.2012. 22:49 ] @
Zasto ne stavis proveru po extenziji, a zatim ukoliko prodje iscitas content i odredis po mimetype-u?
[ Kerim O @ 08.03.2012. 23:43 ] @
Zato što ne mogu da odradim u kojem djelu aplikacije tj. preko koje skripte uploaduju ovaj shell fajl. Lako bi to iskodirao ali kod je jako konfuzan i nepregledan a i nije sigurno da li mu preko toga šalju ovaj skript. Ono što sam mislio je da mu nekako uradim preko .htaccess fajla na par dana,jer sajt hitno treba da se digne a onda bi za svaki upload gdje se uploaduje fajl,ponovo napravio sa provjerom što i nije neki problem.
Medjutim,pošto je sajt jako nepregledan i slično ne mogu da ustanovim gdje se tačno dešava problem,predpostavio sam da je na formama jer sam vidio da mu je zaštita skoro nikakva. Volio bih ako bi mogao uraditi na neki način analizu da vidim gdje je nastao problem. Jer ne bi želio da iskodiram to i potrošim par dana a onda problem bude skroz drugo.
[ ivan.a @ 09.03.2012. 13:38 ] @
Za ovako nešto ne postoji instant rešenje. Ako je kod loše napisan i ima dosta rupa teško da se može nešto uraditi. Dakle, da bi zaštitio skriptu potrebno je da proučiš skriptu, nađeš rupe i "zakrpiš ih".
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.