- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Может быть кто-то сталкивался с такой проблемой... Пользователь загрузил на сайт картинку, а Касперский обнаружил там Backdoor.PHP.PhpShell.cs. Можно ли это как-то проверять при загрузке? (проверка на тип файла выполняется)
проверка на тип файла выполняется
видимо, на расширение..
Можно попробовать imagecreatefrom.. создать
Или первые байты файла проверить на соответствие формату.
А если проверять файл-картинку на ненулевую ширину/высоту?
да по расширению проверяйте.
Если не bmp, jpg, jpeg, ico, бла-бла-бла шлите лесом того, кто загружает, иначе - нормально загружаем.
Даже если ПХП скрипт загрузят типа "shell.jpg", то его не смогут запустить, так как веб-сервер обработает его как картинку(если конечно у Вас в MIME-types не установлено, чтобы апач файлы с расширением jpg отдавал на интерпритацию ПХП:))
А если проверять файл-картинку на ненулевую ширину/высоту?
то она не будет нулевой. картинка может быть вполне нормальной, а в конце файл будет дописан код php, который отлично выполняется.
Обычно скрипты галерей все загруженное пережимают по-своему и при этом весь потенциально опасный мусор удаляется.
Исполняются такие файлы при неправильной настройке сервера. Фактически, вы просто нашли файл касперским, но не знаете исполняется ли он на вашем сайте или нет.
Всем спасибо за советы!