Beveiligings check

djordyh · 29 Juli 2013

Hey,

Ik heb dus een klein scriptje, waarbij de gebruiker een naam invult, en een .zip file upload.
Vervolgens wordt er dan op de server een mapje aangemaakt in een 'uploads' folder, met de opgegeven naam, en dan in het mapje wordt de zip uitgepakt.

Dit werkt allemaal perfect, maar voordat ik het wil gaan gebruiken op me site, ik twijfel nog erg over de veiligheid van het script.
Zou iemand me kunnen vertellen of ik iets over het hoofd ziet? De upload folder wordt met htaccess beveiligt, de rest van de beveiliging zit in het scriptje.

Tot nu toe heb ik:

- Extensie check via mime. Het bestandje moet een .zip file zijn anders upload hij niet.
- Filesize check. Het bestandje mag niet groter zijn dan 1MB.
- Naam check. Als er al een mapje met precies de zelfde opgegeven naam bestaat op de server, upload hij niet.

Zijn er nog meer dingen waar ik op moet letten? En zijn er eventeel ook nog andere risico's waar ik op moet letten?

iCold · 29 Juli 2013

Hij de .zip wordt uitgepakt? Dat betekend toch dat de gebruiker ook o.a PHP bestanden kan uploaden ?

Luc · 29 Juli 2013

Wat gebeurt er met de uitgepakte zips? Want als ik daar kwaadwillende code inlaad is het per definitie niet veilig.

Stel ik maak een zip, met daarin allemaal php bestanden. Worden deze dan uitgevoerd of niet?

djordyh · 29 Juli 2013

Als het goedis pakt hij het enkel uit
Het upload & extract gedeelte is dit:

PHP

if(move_uploaded_file($source, $target_path)) { // No errors, file has to be uploaded
		$zip = new ZipArchive(); // Start a new ZIP
		$x = $zip->open($target_path); // Open the target path
		if ($x === true) { // The target path has been opent
			$zip->extractTo("uploads/$title/"); // Extract the ZIP file in here
			$zip->close(); // Close the ZIP
	
			unlink($target_path); // End the connection to the target path
		} // End if x = true
		$message = "Your .zip file was uploaded and unpacked."; // ZIP is uploaded succesfully. Message.
		
	} else {	
		$message = "There was a problem with the upload. Please try again."; // Some thing went wrong. Error.
	} // End if move uploaded file

Toon Meer

Hierbij worden de bestanden niet geopend/uitgevoerd volgens mij

WHMCSAddons · 29 Juli 2013

@Sukel
Hoeft niet uitgevoerd te worden, als de bestanden al op de FTP staan is dit al voldoende om kwaadwillende code uit te willen voeren.

Tredgy · 29 Juli 2013

Zou ik niet gebruiken nee.

djordyh · 29 Juli 2013

Citaat van Wmdiensten

@Sukel
Hoeft niet uitgevoerd te worden, als de bestanden al op de FTP staan is dit al voldoende om kwaadwillende code uit te willen voeren.

Hoe dan precies? Want de upload directory wordt beveiligt met HTACCESS.

Citaat van Tredgy

Zou ik niet gebruiken nee.

Eeks. Zijn er betere methodes?

cakemasher · 29 Juli 2013

Klopt, maar de bestanden zijn wel aanwezig op de server. Dit is eventueel op te lossen d.m.v. bijv. een .htaccess bestand in de map te plaatsen waarin staat 'deny from all' of php bestanden etc. niet laten uitpakken door je uitpak scriptje.

WHMCSAddons · 29 Juli 2013

@Sukel
Ooit gehoord van SHELL99 exploit code? Wellicht handig als je het een en ander uitzoekt daarover dan heb je meer informatie hierover.
Er bestaan nog veel meer van dit soort exploits, ze zien er onschuldig uit maar kunnen je een hoop narigheid bezorgen

Tredgy · 29 Juli 2013

Ik raad je aan de zip te uploaden naar een OS safe directory waar os level commands beschikbaar zijn, dan daar met een zip safe file checker via command line interference te controleren of hij veilig is dan uitpakken en verplaatsen met php's stream_to_stream.

WHMCSAddons · 29 Juli 2013

Tredgy
Welke advies bedoel je dan precies, zover ik lees raad iedereen het gebruik op de huidige manier af.

Tredgy · 29 Juli 2013

Excuse ik las een reactie verkeerd heb de regel van vorige post verwijderd.

Citaat van Wmdiensten

Tredgy
Welke advies bedoel je dan precies, zover ik lees raad iedereen het gebruik op de huidige manier af.

djordyh · 29 Juli 2013

Citaat van Tredgy

Ik raad je aan de zip te uploaden naar een OS safe directory waar os level commands beschikbaar zijn, dan daar met een zip safe file checker via command line interference te controleren of hij veilig is dan uitpakken en verplaatsen met php's stream_to_stream.

O.o
Haha sorry, dit gaat even te ver over mijn 'knowledge' heen haha.
Hoe werkt dit precies?

jopitan · 30 Juli 2013

Eigenlijk is het aangeraden om bestanden die je voor de gebruiker niet beschikbaar wilt hebben buiten de webroot te zetten.

Je oplossing met .htaccess (Deny from all) in de "uploads" directory is overigens niet verkeerd en ook niet onveilig. Het nadeel kan alleen zijn dat mocht er een syntax error zijn dat de htaccess mogelijk verkeerd geïnterpreteerd wordt of totaal niet geladen wordt (denk aan verkeerde apache configuratie). Een ander punt is dat je mogelijk met verouderde software werkt waardoor er mogelijke lekken kunnen worden misbruikt, dus zorg dat je software up-to-date is.

Stel dat je dat allemaal gewoon op orde hebt, dan is er niks mis met een .htaccess beveiliging. De gebruiker kan hier niet omheen werken.
Als een kwaadwillende shell access krijgt tot jouw account, dan heb je wel een probleem, maar ik zou mij dan meer druk maken om het feit dat iemand überhaupt toegang heeft gekregen tot een shell account inplaats van je druk te maken om het feit dat ze nu bij die paar geüploade bestanden kunnen.

Mocht shell access voor je account niet ingeschakeld staan, dan is er niks aan de hand.

djordyh · 2 Augustus 2013

Bedankt allemaal!
Ik denk dat ik er zo wel uitkom

Kunnen jullie mij helpen met deze enquete

PHP Point of Sale

een eigen cloud sever

Probleem C++ en CL

Unraid

Smarty Update

DNS update Directadmin

Graag advies voor mijn website

Evesi Marktplaats Script

Email invite script

213 Nieuwe domeinnamen September 2024

Beveiligings check

Participate now!

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Het Belang van Standaardisatie

De Revolutionaire Rol van IT in Alzheimeronderzoek

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen