Sicherheitslücke im Mimetype?

fdm · 27.07.2008, 18:56

Hallo

Ich habe letztens feststellen müssen dass meine Site eine Sicherheitslücke hatte. Ich habe mich mit dem jenigen in Kontakt gesetzt der es geschafft hat eine php Datei auf meinen Server zu laden. Das komische ist, das ich nach einer White List in meinem Upload Script arbeite und es eigentlich nur die Mimetypes zulässt die ich erlaubt habe der Rest wird logischerweise ignoriert ;P.

Ich hatte mir meine Mimetype Liste angeschaut (vor dem Fixx):

PHP-Code:

  <?php

$mimetypelist = array("image/jpeg","image/jpg", "image/png", "image/tiff", "video/mpeg", "audio/mpeg", "image/gif","application/octet-stream", "video/mpeg", "application/zip", "application/x-rar-compressed", "application/msword", "video/x-msvideo", "audio/mpeg3", "audio/x-mpeg-3","audio/mp3","application/rar","audio/x-mpeg","application/mp3","video/mp4" ); // Unsere Whitelist !

// jpg,png,tiff,gif,mpeg,mpg,mpe,mp3,zip,rar,word,avi Erlaubt !

//MP4 ergänzt

?>

Nun ist mir aufgefallen das dieses "application/octet-stream" das Problem war. Nachdem entfernen dieses Mimetypes konnte der "Hacker" ^^ keine pöhsen Sachen mehr hochladen. Da hatte ich mich auf SELFHTML verlassen und bekam ne schöne Überraschung -.-. Denn nach Quellen von SELFHTML: Diverse technische Ergänzungen / MIME-Typen sollte dieser Mimetype zb. Exe Dateien zulassen usw. aber kein php... Doch wie konnte der dann php hochladen? Ich verstehe das nicht....

nikosch · 27.07.2008, 19:07

Im Serverkontext ist php ja auch eine ausführbare Datei. Außerdem ist application/octet-stream wohl eh so eine Art Allgemeinformat.
Es würde doch ausreichen, wenn Du die Ausführung von Dateien für den Uploadordner verbietest, oder?

fdm · 27.07.2008, 19:11

Das Problem ist ja schon gefixxed ... Serverkontext ?

agrajag · 27.07.2008, 19:12

Sich auf den Mime-Type in $_FILES['...']['type'] zu verlassen ist sowieso keine gute Idee: Der wird nämlich vom Browser gesendet, theoretisch kann ich da also jeden Quatsch reinschreiben...

fdm · 27.07.2008, 19:18

Kann man sowas also modifizieren ? Könnte man eigentlich auch .. sagen wir mal im Browser für den Mimetype image/jpeg einstellen das es als php intepretieren lassen und somit Zugriff bekommen auf meinen Space xD ?

litterauspirna · 27.07.2008, 19:23

Hallo!

Wie schon gesagt wurde auf die mymetypes würde ich mich nicht verlassen!

Ich habe das bei meinem File Script so gelöst. Ich habe eine Tabelle erstellt wo ich fest lege welche Dateitypen im allgemeinen erlaubt sind zum hochladen und eytra noch eine wo man es festlegen kann für welche Kategorie und somit auch Ordner zugelassen sind.

Somit kannst du sicher gehen das dir keiner was untejubeln kann!

mfg der litter

fdm · 27.07.2008, 19:28

Ich arbeite doch nach einer Whitelist

Da kann auch nix passieren...

nikosch · 27.07.2008, 19:30

vgl.
http://www.php.de/php-einsteiger/133....html#post9974
http://www.php.de/php-einsteiger/133...html#post13644

27.07.2008, 23:00

Die Frage ist was du mit den Dateien machen willst? Wenn es nur Bilder sind, lass getimagesize() drueber laufen und entscheiden, ob der Dateiinhalt Sinn macht. Bei PDF koennen andere Extensions helfen, fuer Videos gibt es auch Bibliotheken.

nikosch · 28.07.2008, 01:20

getimagesize verarbeitet aber auch php Scripte, solange sie ein gültiges Bild liefern. Neben einer vielleicht nicht gewollten Funktion.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mimetype Abfrage bei Truetype-Fonts	aktionkuba	PHP Tipps 2006	1	26.09.2006 23:33
Helft bitte: mimetype bei mail		PHP Tipps 2006	2	02.02.2006 03:19

27.07.2008, 18:56
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Sicherheitslücke im Mimetype? Hallo Ich habe letztens feststellen müssen dass meine Site eine Sicherheitslücke hatte. Ich habe mich mit dem jenigen in Kontakt gesetzt der es geschafft hat eine php Datei auf meinen Server zu laden. Das komische ist, das ich nach einer White List in meinem Upload Script arbeite und es eigentlich nur die Mimetypes zulässt die ich erlaubt habe der Rest wird logischerweise ignoriert ;P. Ich hatte mir meine Mimetype Liste angeschaut (vor dem Fixx): PHP-Code: `<?php $mimetypelist = array("image/jpeg","image/jpg", "image/png", "image/tiff", "video/mpeg", "audio/mpeg", "image/gif","application/octet-stream", "video/mpeg", "application/zip", "application/x-rar-compressed", "application/msword", "video/x-msvideo", "audio/mpeg3", "audio/x-mpeg-3","audio/mp3","application/rar","audio/x-mpeg","application/mp3","video/mp4" ); // Unsere Whitelist ! // jpg,png,tiff,gif,mpeg,mpg,mpe,mp3,zip,rar,word,avi Erlaubt ! //MP4 ergänzt ?>` Nun ist mir aufgefallen das dieses "application/octet-stream" das Problem war. Nachdem entfernen dieses Mimetypes konnte der "Hacker" ^^ keine pöhsen Sachen mehr hochladen. Da hatte ich mich auf SELFHTML verlassen und bekam ne schöne Überraschung -.-. Denn nach Quellen von SELFHTML: Diverse technische Ergänzungen / MIME-Typen sollte dieser Mimetype zb. Exe Dateien zulassen usw. aber kein php... Doch wie konnte der dann php hochladen? Ich verstehe das nicht....


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.07.2008, 19:07
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	Im Serverkontext ist php ja auch eine ausführbare Datei. Außerdem ist application/octet-stream wohl eh so eine Art Allgemeinformat. Es würde doch ausreichen, wenn Du die Ausführung von Dateien für den Uploadordner verbietest, oder? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.07.2008, 19:11
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Das Problem ist ja schon gefixxed ... Serverkontext ?

27.07.2008, 19:12
agrajag Moderator Registriert seit: 02.10.2006 Beiträge: 3.820 PHP-Kenntnisse: Fortgeschritten	Sich auf den Mime-Type in $_FILES['...']['type'] zu verlassen ist sowieso keine gute Idee: Der wird nämlich vom Browser gesendet, theoretisch kann ich da also jeden Quatsch reinschreiben... __________________ Today you...Tomorrow me.

27.07.2008, 19:18
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Kann man sowas also modifizieren ? Könnte man eigentlich auch .. sagen wir mal im Browser für den Mimetype image/jpeg einstellen das es als php intepretieren lassen und somit Zugriff bekommen auf meinen Space xD ?

27.07.2008, 19:23
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.172 PHP-Kenntnisse: Anfänger	Hallo! Wie schon gesagt wurde auf die mymetypes würde ich mich nicht verlassen! Ich habe das bei meinem File Script so gelöst. Ich habe eine Tabelle erstellt wo ich fest lege welche Dateitypen im allgemeinen erlaubt sind zum hochladen und eytra noch eine wo man es festlegen kann für welche Kategorie und somit auch Ordner zugelassen sind. Somit kannst du sicher gehen das dir keiner was untejubeln kann! mfg der litter __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

27.07.2008, 19:28
fdm Benutzer Registriert seit: 24.05.2008 Beiträge: 42	Ich arbeite doch nach einer Whitelist Da kann auch nix passieren...

27.07.2008, 19:30
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	vgl. http://www.php.de/php-einsteiger/133....html#post9974 http://www.php.de/php-einsteiger/133...html#post13644 __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

27.07.2008, 23:00
ElPresidente Gast Beiträge: n/a	Die Frage ist was du mit den Dateien machen willst? Wenn es nur Bilder sind, lass getimagesize() drueber laufen und entscheiden, ob der Dateiinhalt Sinn macht. Bei PDF koennen andere Extensions helfen, fuer Videos gibt es auch Bibliotheken.

28.07.2008, 01:20
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.988 PHP-Kenntnisse: Fortgeschritten	getimagesize verarbeitet aber auch php Scripte, solange sie ein gültiges Bild liefern. Neben einer vielleicht nicht gewollten Funktion. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --