Bilgisayar Güvenliği Bilgi Merkezi

bilgisayar,mail,web,site,şifre,network,güvenlik,hack,security,ddökümanları


Bağlı değilsiniz. Bağlanın ya da kayıt olun

Ldu ve Seditio Upload Açığını Kapatmak

Önceki başlık Sonraki başlık Aşağa gitmek  Mesaj [1 sayfadaki 1 sayfası]

1Uyarı Ldu ve Seditio Upload Açığını Kapatmak Bir Cuma Ara. 11, 2009 5:43 pm

Admin

avatar
Admin
Sitemi bu açığa karşı nasıl korurum ?

İlgili dosyayı download kısmından indirip sıkıştırılmış dosyayı açın. Klasör içeriğindeki tüm dosyaları;

datas/users/

klasörü içine kopyalayın.

/users/ klasörünün chmod ayarını 755 yapın.

--
Ldu ve Seditio’da 3 farklı upload olayı vardır.
1- avatar upload
2- photo upload
3- my files (pfs.php)

Eğer isterseniz datas/photos/ ve datas/avatars/ klasörleri içinde uygulayabilirsiniz.

İşleyiş nedir ?

.htaccess = bulunduğu klasördeki alttaki dosyalara istekte bulunan istemciyi *.php?*=dosya dosyasına yönlendirir.

jpg.php = istek gelen jpg dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.

gif.php = istek gelen gif dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.

png.php = istek gelen png dosyasını Php server üzerinden sadece image görüntülemesi için çalıştırıyoruz.

bmp.php = istek gelen bmp dosyasını Php server üzerinden sadece application/pdf görüntülemesi için çalıştırıyoruz.

zip.php = istek gelen zip dosyasını Php server üzerinden sadece application/zip görüntülemesi için çalıştırıyoruz.

rar.php = istek gelen rar dosyasını Php server üzerinden sadece application/rar görüntülemesi için çalıştırıyoruz.

pdf.php = istek gelen pdf dosyasını Php server üzerinden sadece application/pdf görüntülemesi için çalıştırıyoruz.

mov.php = istek gelen mov dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.

qt.php = istek gelen qt dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.

ogg.php = istek gelen ogg dosyasını Php server üzerinden sadece video/quicktime görüntülemesi için çalıştırıyoruz.

avi.php = istek gelen avi dosyasını Php server üzerinden sadece video/x-msvideo görüntülemesi için çalıştırıyoruz.

mpg.php = istek gelen mpg dosyasını Php server üzerinden sadece video/mpeg görüntülemesi için çalıştırıyoruz.

mpeg.php = istek gelen mpeg dosyasını Php server üzerinden sadece video/mpeg görüntülemesi için çalıştırıyoruz.

txt.php = istek gelen txt dosyasını Php server üzerinden sadece text/plain görüntülemesi için çalıştırıyoruz.

mp3.php = istek gelen mp3 dosyasını Php server üzerinden sadece audio/mp3 görüntülemesi için çalıştırıyoruz.

wav.php = istek gelen wav dosyasını Php server üzerinden sadece audio/x-wav görüntülemesi için çalıştırıyoruz.

Böylece upload edilen jpg, jpeg, png, bmp, rar, zip, mov, mpeg, mpg, avi, ogg, qt, txt, mp3, wav, pdf, ve özellikle gif dosyasına inject edilen php xss ve ayrıca getimagesize() fonksiyonunu bypass ederek kötü kod çalıştırılmasını önlemiş oluyoruz.

(uzantılar referansı system/config.extensions.php dosyasından alınmıştır)


Teknik Destek : cixturk@amasyateknoloji.tk
[Resimleri görebilmek için üye olun veya giriş yapın.]
[Resimleri görebilmek için üye olun veya giriş yapın.]
[Resimleri görebilmek için üye olun veya giriş yapın.]
Kullanıcı profilini gör http://www.hacktebugun.com

2Uyarı Geri: Ldu ve Seditio Upload Açığını Kapatmak Bir C.tesi Mart 27, 2010 9:30 pm

Misafir


Misafir
İşe yarar bir Konu Fazla Online değilsin Online süreni arttır ve Böyle daha çok paylaşım yapki foruma daha çok katkın olsun

Önceki başlık Sonraki başlık Sayfa başına dön  Mesaj [1 sayfadaki 1 sayfası]

Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz