ForumSevgisi.Com

  ForumSevgisi.Com > ForumSevgisi Sosyal Medya - Teknoloji - Oyun Bölümü > Bilgisayar Ve Donanım > Güvenlik


Resim Yükleme Açıkları | Image Upload Vulnerabilities


Resim Yükleme Açıkları | Image Upload Vulnerabilities

Bilgisayar Ve Donanım Kategorisinde ve Güvenlik Forumunda Bulunan Resim Yükleme Açıkları | Image Upload Vulnerabilities Konusunu Görüntülemektesiniz,Konu İçerigi Kısaca ->> Resim Yükleme Açıkları | Image Upload Vulnerabilities Upload Vulnerability | Dosya Yükleme Açığı Nedir? Web Penetrasyon Tesleri - 1. Bölüm ...

Kullanıcı Etiket Listesi

Ağaç Şeklinde Aç1Beğeni
  • 1 gönderen -X-
Yeni Konu aç  Cevapla
LinkBack Seçenekler Stil

Okunmamış 24 Ocak 2015, 13:11   #1
Durumu:
Çevrimdışı
-X- - ait Kullanıcı Resmi (Avatar)
Ruhsuz
Üyelik tarihi: 25 Ekim 2014
Şehir: null
Mesajlar: 1.667
Konular: 293
Beğenilen: 757
Beğendiği: 824
www.forumsevgisi.com
Standart Resim Yükleme Açıkları | Image Upload Vulnerabilities

Resim Yükleme Açıkları | Image Upload Vulnerabilities

Upload Vulnerability | Dosya Yükleme Açığı Nedir? Web Penetrasyon Tesleri - 1. Bölüm

Yeni bir teknik konudan daha merhaba. Grafik yükleme sistemleri günümüzde oldukça önemli bir yere sahip. Özellikle forumlar düşünüldüğünde bunun önemi biraz daha artıyor. Peki bir yükleme işlemi yaparken aşamalar nedir, gönderilen veriler ve alınan cevaplar nedir diye merak ettiniz mi?
Yükleme sistemleri genel olarak bir gönderme ve bir de işleme kodlarından oluşur. Örnek bir kod inceleyecek olursak "Filigran" ekleyen php dili ile yazılmış scripti gösterebilirim. Küçük bir google aramasında çıkan bu script yeterince güvenli mi? ( Security is just an illusion )



PHP- Kodu:
<html><title>ForumSevgisi.Com Filigran</title>
<
META http-equiv=content-type content=text/html;charset=windows-1254>
<
center><img src=./logo6.png>
<
center><b>
<
p align=center>
<
font colordark redForumSevgisi Filigran Ekleme Aracı</font></p>
<
form action="cakbebek.php" method="post" enctype="multipart/form-data">
<
input type="file" name="File1"><br><br>
<
input type="submit" value="Gönder Bebeğim!">
</
form>
<
p align=center><font colordark red> -XTarafından Geliştirilmiştir. @_HacKingZ_</font></b></p>
<
center><img src=./1.png>
</
center

Bu bir index dosyası. Görevi "cakbebek.php" dosyasına resmi göndermek ve işlenmesini sağlamak.

PHP- Kodu:
<form action="cakbebek.php" method="post"
Bu script resmin yüklenip işlenmesinin ardından bir orijinal bir de filigranlı dosya linkini veriyor. Görüldüğü üzere filigranı ekledi ve linki verdi. Buraya kadar her şey iyi giderken bu açık kaynaklı projenin ne gibi bir açığı olduğuna bakmak istedim. Böyle bir sistemde elbette ki bakacağım ilk açık "Dosya yükleme zafiyeti" olacaktır.


shell dosyamı direkt olarak yüklemeye gönderirsem alacağım cevabın "Al bak bozdun bozduun!!1111!!" olduğunu görüyorum.



Peki dosyanın içerisine suncuyu yanıltacak bir satır eklersem ne olur? "GIF89;a"


Görüldüğü üzere shell dosyası yüklenmiş oldu ve sunucuya sızılmış oldu.
Peki ben bu açığı nasıl kapatırım?
Bunun için cakbebek.php dosyasına aşağıdaki gibi bir filtreleme uygularsanız php uploadı başarılı olmaz.


PHP- Kodu:
$type FILES["file"]["type"]
if(
$type == "jpeg" || $type == "png" || $type == "gif"
Ancak ben bunlarla uğraşamam daha kolayı yok mu derseniz onun için de size şöyle bir .htaccess dosyası vereyim

Kod:
        <FilesMatch \.(pl|php|php3|php4|php5)$>
Order allow,deny
Deny from All
</FilesMatch>

Böylelikle perl, php ver türevleri sunucuya "yüklense bile çalışmaz".



Öğretici niteliktedir, illegal amaçlar için kullanılamaz. Güvenli kod yazmanın hassasiyetine değinilmiştir.

@-X- Sundu
FragiLe bunu beğendi.
________________

Sizin İmza Resimleri Görmeniz İçin Yetkiniz Yok. Lütfen Üye Olun.


Noyan..
imza
Alıntı ile Cevapla
Yeni Konu aç  Cevapla

Etiketler
aciklari, açık, açıkları, düzeltme, fix, güvenlik, image, kapatma, pen test, penetration test, resim, security, upload, vulnerabilities, vulnerability, yukleme, yükleme

Seçenekler
Stil


Saat: 23:00

Forum Yasal Uyarı
vBulletin® ile Oluşturuldu
Copyright © 2016 vBulletin Solutions, Inc. All rights reserved.

ForumSevgisi.Com Her Hakkı Saklıdır
Tema Tasarım:
Kronik Depresif


Sitemiz bir 'paylaşım' sitesidir. Bu yüzden sitemize kayıt olan herkes kontrol edilmeksizin mesaj/konu/resim paylaşabiliyorlar. Bu sebepten ötürü, sitemizdeki mesaj ya da konulardan doğabilecek yasal sorumluluklar o yazıyı paylaşan kullanıcıya aittir ve iletişim adresine mail atıldığı taktirde mesaj ya da konu en fazla 48 saat içerisinde silinecektir.

ankara escort, izmir escort ankara escort, ankara escort bayan, eryaman escort, bursa escort pendik escort, antalya escort,