Отзывы

[markimax]

 

дело не в функционале а в простоте)

П.С.: простота залог успеха :-)

 

C таким функционалом проще нету

Нажал одну кнопку "Сценарии -> Включить" и отзывы в стиле "розетка" с таким же функционалом готовы

[Vetal]

короче сделайте как в розетке и будет вам счастье) и мне тоже :-)

[ArtemPitov]

Вот как раз важно, потому что другого способа залить шел, троян нету!

Если он "лопух" по безопасности но нельзя загрузить файл на сервер - то даже "лопуху" не зальешь, если запрещена загрузка  файлов

Это уже баян у хакеров.

ну тогда что мешает сделать php_flag engine off ? 

[Vetal]

C таким функционалом проще нету

Нажал одну кнопку "Сценарии -> Включить" и отзывы в стиле "розетка" с таким же функционалом готовы

здесь ничего не скажу ... не вникал просто

[markimax]

ну тогда что мешает сделать php_flag engine off ? 

Обходится. Главная задача хакера залить файл. Остальное дело техники и времени уже :)

Лучшая и единственная защита - хранить содержимое изображений (файлов)  в БД, но сами понимаете какая она от этого будет по размерам и как будет тормозить и то могут взломать на пути к БД /tmp и т п .

[ArtemPitov]

Обходится. Главная задача хакера залить файл. Остальное дело техники и времени уже :)

Лучшая и единственная защита - хранить содержимое изображений (файлов)  в БД, но сами понимаете какая она от этого будет по размерам и как будет тормозить.

Так все изображения по умолчанию (в смысле должны) переименовываться, это стандартная процедура при загрузки изображения и тогда название изображения должно попадать в базу

Змінено 16 вересня 2016 користувачем ArtenPitov

[markimax]

Так все изображения по умолчанию (в смысле должны) переименовываться, это стандартная процедура при загрузки изображения

ArtenPitov - ну и что :) Новые имена потом "ловят" через пробои функций php и хостера

[markimax]

Так все изображения по умолчанию (в смысле должны) переименовываться, это стандартная процедура при загрузки изображения и тогда название изображения должно попадать в базу

Вот почитайте хоть одну статью, чтобы проветрить голову :)

https://habrahabr.ru/post/224351/

 

Самая прямая дорога к RCE — возможность загрузки файлов на сервер. Это можно делать под разными соусами — чаще всего в виде котиков… прошу прощения, изображений.

 

[ArtemPitov]

ArtenPitov - ну и что :) Новые имена потом "ловят" через пробои функций php и хостера

так для этого и будет служить htaccess php_flag engine off

[markimax]

так для этого и будет служить htaccess php_flag engine off

ArtenPitov :) Ну мне вам еще сказать :) Это для конкретной папки, но хакер (если перехватил пробой хостера) после /tmp может "отправить" куда угодно файл в некоторых случаях, а не в защищенную папку

Только вы разрешили загрузку, всё, приготовьтесь воевать. Там эксплойтов и дыр использования уже валом. Все дело уже только в вопросе времени - "когда"

[ArtemPitov]

ArtenPitov :) Ну мне вам еще сказать :) Это для конкретной папки, но хакер (если перехватил пробой хостера) после /tmp может "отправить" куда угодно файл в некоторых случаях, а не в защищенную папку

Только вы разрешили загрузку, всё, приготовьтесь воевать. Там эксплойтов и дыр использования уже валом. Все дело уже только в вопросе времени - "когда"

 

Ну давайте тогда не будем спорить, а наоборот искать правильный вариант загрузки учитывая настройки которые должны быть на хостинге

[markimax]

Ну давайте тогда не будем спорить, а наоборот искать правильный вариант загрузки учитывая настройки которые должны быть на хостинге

Понимаете в чем суть - хостеров много и всегда найдется "лопух", это уже не раз проходили. Поэтому если модуль будет доступен для всех, то понятное дело будут "грабли" и будут загрузки шелов и т.п. Я и здесь на форуме и на opencart.com  не одни "отзывы" тестировал с загрузкой изображений - в 90% я (замечу я разработчик - не хакер) умудрялся простыми методами загружать php бомбы (поищите здесь по форуму увидите).

Писать сугубо специализированный модуль завязанный под одного хостера (как это делают большие магазины (кстати они в 90% хранят загруженные изображения на отдельном сервере в отдельной БД) никто не будет из-за проблем совместимости.

[ArtemPitov]

Понимаете в чем суть - хостеров много и всегда найдется "лопух", это уже не раз проходили. Поэтому если модуль будет доступен для всех, то понятное дело будут "грабли" и будут загрузки шелов и т.п. Я и здесь на форуме и на opencart.com  не одни "отзывы" тестировал с загрузкой изображений - в 90% я (замечу я разработчик - не хакер) умудрялся простыми методами загружать php бомбы (поищите здесь по форуму увидите).

Писать сугубо специализированный модуль завязанный под одного хостера (как это делают большие магазины (кстати они в 90% хранят загруженные изображения на отдельном сервере в отдельной БД) никто не будет из-за проблем совместимости.

Если на то пошло, тогда получается в опенкарте есть одна дыра http://demo.opencart.com/index.php?route=product/product&product_id=42, а именно возможность загрузки файлов в карточке товаров 

 

 

 

кстати они в 90% хранят загруженные изображения на отдельном сервере в отдельной БД

Самый хороший вариант, к стати в вк храниться это все на pp.vk.me и он закрыть из вне 

[markimax]

Если на то пошло, тогда получается в опенкарте есть одна дыра http://demo.opencart.com/index.php?route=product/product&product_id=42, а именно возможность загрузки файлов в карточке товаров 

 

 

Самый хороший вариант, к стати в вк храниться это все на pp.vk.me и он закрыть из вне 

Да дыра - постоянно на демо сайте чищу папку download от php бомб.

Только вот никто не пользуется загрузкой файлов этого функционала.  Ни разу не видел у пользователей.

Насчет vk и т п - там все завязано c сервером и продумано до мелочей на уровне серверов. Так модуль для пользователей не сделаешь никогда. Это сугубо специализированное решение

 

[ArtemPitov]

Да дыра - постоянно на демо сайте чищу папку download от php бомб.

Только вот никто не пользуется загрузкой файлов этого функционала.  Ни разу не видел у пользователей.

Насчет vk и т п - там все завязано c сервером и продумано до мелочей на уровне серверов. Так модуль для пользователей не сделаешь никогда. Это сугубо специализированное решение

 

Что нужно учитывать для при настройке сервера ? какие есть подводные камни ? 

 

Ну вариант использовать ссылки на изображения, но нам все рано приодеться их грузить себе на сервер (тем же file_get_contents) для того самого ресайта  и прочей обработки 

[markimax]

Что нужно учитывать для при настройке сервера ? какие есть подводные камни ? 

 

Ну вариант использовать ссылки на изображения, но нам все рано приодеться их грузить себе на сервер (тем же file_get_contents) для того самого ресайта  и прочей обработки 

Там подводных  камней валов, сами хостеры о них всех даже не знают

Насчет скачивания по ссылки на сервер - зачем?  .img_outter { min-width: и т .п. Да и JS - м можно. Зачем их ресазить если они с чужого сервера вызываются :) Зачем они вообще нужны на сервере чтобы сервак дергать http запросами? Никто мне таких вопросов не задавал никогда (у меня картинки и видео по внешним ссылкам), максимум к чему сводилось min-width и width через css

[ArtemPitov]

Там подводных  камней валов, сами хостеры о них всех даже не знают

Насчет скачивания по ссылки на сервер - зачем?  .img_outter { min-width: и т .п. Да и JS - м можно. Зачем их ресазить если они с чужого сервера вызываются :) Зачем они вообще нужны на сервере чтобы сервак дергать http запросами? Никто мне таких вопросов не задавал никогда (у меня картинки и видео по внешним ссылкам), максимум к чему сводилось min-width и width через css

ну а если изображение весит 10 мб ? и не одно а целых 100 на странице, как тогда быть ?

Змінено 16 вересня 2016 користувачем ArtenPitov

[ArtemPitov]

Еще кстати вот так можно закрыть директорию

<Files ~ "\..+$">
    Deny from all
</Files>

php_flag engine 0

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

[markimax]

 

Еще кстати вот так можно закрыть директорию

<Files ~ "\..+$">
    Deny from all
</Files>

php_flag engine 0

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

ArtenPitov :) Ну я же писал - это частное решение для конкретной папки, а хакер перехватив управление может отправить в любую

[markimax]

ну а если изображение весит 10 мб ? и не одно а целых 100 на странице, как тогда быть ?

Вы где то встречали сервисы которые выкладывают изображения по ~ 10 Mb ;) 99.9999% уже ресайзят за вас.

А размер картинки определить можно и по JS и запретить "10 -ти mb"

[klaos27]

Мне больше такой вариант нравиться http://rozetka.com.ua/apple_macbook_pro_retina_15_z0rg0023k/p11035161/

https://coolstuff.com.ua/oh-rf21-ny-navi

Угадайте на каком модуле сделаны... :)

[Vetal]

ну круто канешно)) но и намучались небойсь со стилями и лишнего кучу вибросили...или как?

но в розетке лучше  :-)

Змінено 16 вересня 2016 користувачем Vetal

[klaos27]

ну круто канешно)) но и намучались небойсь со стилями и лишнего кучу вибросили...или как?

но в розетке лучше  :-)

это было давно. Розетка потом уже несколько раз поменяла их.

Лишнего ничего выброшено не было.

[ArtemPitov]

https://coolstuff.com.ua/oh-rf21-ny-navi

Угадайте на каком модуле сделаны... :)

 

так я знаю что можно перепилить

[Vetal]

это было давно. Розетка потом уже несколько раз поменяла их.

Лишнего ничего выброшено не было.

 сделано на совесть) мне нравится :-)