PHP téléchargement d'image de sécurité liste de contrôle

Je suis de la programmation d'un script d'upload d'images pour mon application. Sont les suivantes étapes de sécurité suffisamment pour en faire la demande à l'abri de l'script côté?

  • Désactiver PHP en cours d'exécution à l'intérieur du dossier de téléchargement à l'aide .httaccess.
  • Ne permettent pas de télécharger si le nom de fichier contient la chaîne "php".
  • Autoriser uniquement les extensions sont: jpg,jpeg,gif et png.
  • Permettre uniquement un type de fichier d'image.
  • Interdire image avec deux type de fichier.
  • Changer le nom de l'image.
  • De télécharger vers un sous-répertoire ne répertoire racine.

C'est mon script:

 $filename=$_FILES['my_files']['name'];
$filetype=$_FILES['my_files']['type'];
$filename = strtolower($filename);
$filetype = strtolower($filetype);
//check if contain php and kill it 
$pos = strpos($filename,'php');
if(!($pos === false)) {
die('error');
}
//get the file ext
$file_ext = strrchr($filename, '.');
//check if its allowed or not
$whitelist = array(".jpg",".jpeg",".gif",".png"); 
if (!(in_array($file_ext, $whitelist))) {
die('not allowed extension,please upload images only');
}
//check upload type
$pos = strpos($filetype,'image');
if($pos === false) {
die('error 1');
}
$imageinfo = getimagesize($_FILES['my_files']['tmp_name']);
if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg'&& $imageinfo['mime']      != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
die('error 2');
}
//check double file type (image with comment)
if(substr_count($filetype, '/')>1){
die('error 3')
}
//upload to upload direcory 
$uploaddir = 'upload/'.date("Y-m-d").'/' ;
if (file_exists($uploaddir)) {  
} else {  
mkdir( $uploaddir, 0777);  
}  
//change the image name
$uploadfile = $uploaddir . md5(basename($_FILES['my_files']['name'])).$file_ext;
if (move_uploaded_file($_FILES['my_files']['tmp_name'], $uploadfile)) {
echo "<img id=\"upload_id\" src=\"".$uploadfile."\"><br />";
} else {
echo "error";
}

Tout nouveaux conseils sont les bienvenus 🙂

  • Je voudrais supprimer la règle suivante: Ne pas autoriser le transfert si le nom de fichier contient la chaîne "php". Il n'est pas nécessaire parce que vous êtes en renommant le fichier.
  • Vous pouvez télécharger Sécuriser le transfert d'Image à partir de github. C'est le plus sûr script PHP vivant. Il prend en charge l'image de re-dimensionnement/croping trop.
  • À partir d'un rapide coup d'œil à cette catégorie de la sécurité que je peux voir, c'est une extension de vérifier. S'il vous plaît, s'il vous PLAÎT dire qu'il n'est pas vrai!
  • Ce n'est pas vrai. Dans quel sens? le pathinfo(, PATHINFO_EXTENSION) est une très bonne façon d'obtenir le plus précis extension de fichier, en fait il n'y a rien de plus fiable que cela. lire, où il est dit note
  • Si j'ai quitté la sécurité de mon serveur vers le bas à une extension de vérifier je ne serais pas capable de dormir la nuit est ce que je dis
  • Eh bien, si vous n'êtes pas assez intelligent pour ne pas donner à vos dossiers d'autorisation pour l'exécution des fichiers, la je suis d'accord. Vous ne devriez pas dormir 🙂
  • Je suis assez intelligent cependant, je ne suis pas concordants laissant un tel risque à une simple vérification qui peut laisser le code de l'exécutable sur votre serveur qui pourrait être un maillon très important dans une chaîne qui permet de fuite de choses comme les détails de compte, la plupart du monde réel hacks ne viennent pas d'une vulnérabilité, mais quelques utilisés conjointement. EDIT: je vois votre Suisse, bon 🙂
  • Je ne suis pas Suisse :). Pourquoi ne pas télécharger les classes et essayez de votre mieux pour la battre? Je suis vraiment intéressé de savoir comment il peut être exploité. Je ne suis pas sûr à 100%, comme je suis en PHP débutant. Mais, je veux utiliser la classe dans des projets d'avenir donc, je voudrais savoir
  • Juste assez 🙂 en fait, je suis actuellement à l'élaboration d'une sécurité de téléchargement d'images, de stockage, et de servir de classe en PHP, donc je suis très paranoïaque lors de la lecture de la façon dont toutes ces vérifications peuvent être contournées. Si vous utilisez le script, assurez-vous de stocker les images à côté de la racine du document et de les afficher à l'aide de PHP, encadrez quelque chose se passe
  • Bien sûr, laissez-moi vérifier votre code lorsque vous avez terminé. J'ai besoin d'apprendre autant que possible. Je pense que mon script est sûr, mais il peut être très améliorée. Donc, j'ai besoin de le comparer avec les autres
  • l'ofc & btw j'aime le Luc 3:11 licence 🙂

InformationsquelleAutor usef_ksa | 2010-11-12
  1. 33

    Re-traiter l'image à l'aide de GD (ou Imagick) et enregistrer l'image traitée. Tous les autres sont juste des fun ennuyeux pour les pirates.

    Edit: Et comme rr l'a souligné, l'utilisation move_uploaded_file() pour tout télécharger.

    Fin Edit: au fait, vous voulez être très restrictives au sujet de votre dossier de téléchargement. Ces lieux sont l'un des coins sombres où de nombreux exploits arriver. Ceci est valable pour n'importe quel type de télécharger et de tout langage de programmation/serveur. Vérifier https://www.owasp.org/index.php/Unrestricted_File_Upload

    • +1. Je ne vois pas comment toutes les vérifications de la liste (dans la question) peut être utile, si c'est une image et contient un poste valide.
    • +1 je pense que c'est la solution la plus sûre, mais serait la qualité de l'image ou de la taille de souffrir? Est-il un moyen sécurisé GD/Imagick pouvez valider c'est une image sans l'altérer?
    • Liste blanche est presque toujours mieux que le black-listage. Donc, est en cours de traitement plutôt que de vérifier. Vous serez l'altérer, mais vous pouvez avoir l'image qui en résulte, avec les mêmes propriétés, et pratiquement pas de perte de qualité. Bien sûr, si vous voulez stocker l'image d'origine aussi exactement que possible (comme flickr), vous pouvez creuser plus profondément dans ce domaine.
    • Je ne fais pas cela parce que je pense qu'il faut beaucoup de traitement de l'UC.
    • Marquez mes mots: la plupart du temps, le CPU est le plus redondant de ressources. Il suffit de regarder le graphique de n'importe quelle machine/serveur (à l'exception de Google, Facebook, etc serveurs peut-être). Vous verrez que c'est l'époussetage là la plupart du temps. Des projets comme SETI@Home essaie d'utiliser ce temps libre. En tout cas, il serait plus que la valeur de l'effort pour la sécurité supplémentaire.
    • Il y a quelques commentaires intéressants sur cette question (stackoverflow.com/questions/7349473/...) sur l'importance de re-traitement d'images.
    • Pourriez-vous donner l'exemple de "ré-processus"? Permet de dire avec imagick (ou GD au pire) ?
    • Un simple "imagick en php, par exemple" recherche Google renvoie plusieurs résultats, mais à un strict minimum, il serait quelque chose comme: try { $image = new Imagick($_FILES['my_files']['tmp_name']); $image->writeImage($outFile); } catch (ImagickException) { //invalid image or something }
    • Aurait simplement en vérifiant le résultat de getimagesize() être efficace pour le "traitement de l'image"? getimagesize() serait return false si ce n'est pas une image valide, correct? Juste pour plus de clarté pour tout le monde, c'est assez simple à usurper les types mime et les extensions en train de poster un faux type mime et/ou de l'extension de dérivation, de contrôle de sécurité.
    • Je crois qu'aucune fonction n'est assez pour vérification. Donc, il vous suffit de ne pas vérifier, il suffit de créer une nouvelle image. Exemple: le code PHP peut être caché dans les EXIF, XMP, etc une partie de l'image, et les fonctions/programmes peuvent échouer (par inadvertance ou par l'utilisation d'un code d'exploitation) pour signaler que le code.
    • Une note de l'avenir: Alors, comment le réel est la menace? J'ai trouvé quelques articles sur la question ici et ici. Surtout la seconde passe par la sécurisation de l'image uploads en profondeur. Ils sont assez vieux, mais l'OMI encore pertinentes aujourd'hui.

    InformationsquelleAutor Halil Özgür
  2. 12

    Pour les tests de sécurité des fichiers d'image, je pense, de 4 niveaux de titres. Ils doivent être:

    • Niveau 1: Vérifier l'extension (extension de fichier se termine avec)
    • Niveau 2: Vérifier le type MIME ($file_info = getimagesize($_FILES['image_file']; $file_mime = $file_info['mime'];)
    • Niveau 3: Lire les 100 premiers octets et de vérifier s'ils ont des octets dans la plage suivante: ASCII de 0 à 8, 12 à 31 (décimal).
    • Niveau 4: Vérifier les numéros de magie dans l'en-tête (première de 10 à 20 octets du fichier). Vous pouvez trouver certains des fichiers d'en-tête d'octets à partir d'ici: http://en.wikipedia.org/wiki/Magic_number_%28programming%29#Examples

    Remarque: le Chargement de l'image entière serait lente.

    • 3 & 4 ne sera pas particulièrement lent. Ce qui serait lent est le chargement de la totalité de l'image dans une bibliothèque afin de le vérifier.
    • merci.. je l'ai corrigé.
    InformationsquelleAutor
  3. 7

    XSS Avertissement

    Un plus très important remarque. Ne servent pas/télécharger quoi que ce soit qui pourrait être interprété comme du HTML dans le navigateur.

    Étant donné que les fichiers sont sur votre domaine, javascript contenues dans ce document HTML aurez accès à tous vos cookies, permettant à une sorte d'attaque XSS.

    Scénario d'attaque:

    1. L'attaquant upload de fichier HTML avec du code JS qui envoie tous les cookies de son serveur.

    2. L'attaquant envoie le lien à vos utilisateurs via mail, MP, ou via une iframe sur son site ou tout autre site.

    Plus sécurisée, la solution:

    Faire du contenu téléchargé disponible uniquement sur le sous-domaine ou sur un autre domaine. De cette façon, les cookies ne sont pas accessibles. C'est aussi l'un des google des conseils de performances:

    https://developers.google.com/speed/docs/best-practices/request#ServeFromCookielessDomain

    InformationsquelleAutor Rok Kralj
  4. 6

    Vous pouvez l'exécuter "is_uploaded_file" sur la variable $_FILES['my_files']['tmp_name'] ainsi. Voir http://php.net/manual/en/function.is-uploaded-file.php

    InformationsquelleAutor rr.
  5. 6

    Créer un nouveau .htaccess dans le télécharge dir et collez ce code:

    php_flag engine 0
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

    Assurez-vous simplement de renommer les fichiers u téléchargement + oublier la vérification des types, matières, etc

    • êtes-vous sûr de cela? sans une autre case dans le script php en image des données post?
    InformationsquelleAutor jloa
  6. 5

    Je vais le répéter quelque chose que j'ai posté en question connexe.

    Vous pouvez détecter le type de contenu à l'aide de Fileinfo fonctions (mime_content_type() dans les versions précédentes de PHP).

    Un extrait de formulaire PHP manuel sur les vieux type mime extension, qui est maintenant remplacé par Fileinfo:

    Les fonctions de ce module d'essayer de deviner le type de contenu et
    encodage d'un fichier en recherchant certaine magie séquences d'octets à
    des positions spécifiques dans le fichier. Alors que ce n'est pas une preuve de balle
    l'approche de l'heuristique utilisée font un très bon travail.

    getimagesize() peut aussi faire un bon travail, mais la plupart des autres vérifications que vous effectuez sont des non-sens. Par exemple, pourquoi chaîne php n'est pas autorisé dans le nom de fichier. Vous n'allez pas inclure le fichier image dans le script PHP, juste parce que son nom contient php chaîne, êtes-vous?

    Quand il s'agit de la re-création d'images, dans la plupart des cas, il permettra d'améliorer la sécurité... jusqu'à ce que la bibliothèque que vous utilisez n'est pas vulnérable.

    Donc extension PHP qui convient le mieux pour sécuriser l'image de la re-création? J'ai vérifié CVE de détails site web. Je pense que l'applicables trio sont ces extensions:

    1. GD (6 vulnérabilités)
    2. ImageMagick (44 vulnérabilités)
    3. Gmagick (12 vulnérabilités)

    De la comparaison, je pense que GD convient le mieux, parce qu'il a le plus petit nombre de questions de sécurité et ils sont assez vieux. Trois d'entre eux sont essentiels, mais ImagMagick et Gmagick ne pas faire mieux... ImageMagick semble être très bogué (au moins quand il s'agit de la sécurité), je choisis donc d'Gmagick que la deuxième option.

    InformationsquelleAutor doc
  7. 2

    si la sécurité est très importante utilisation de la base de données pour enregistrer le nom de fichier et rebaptisé du nom de fichier et ici vous pouvez changer l'extension de fichier de quelque chose comme .myfile et de faire un fichier php pour envoyer des images avec les en-têtes . php peut être plus sûr, et vous pouvez l'utiliser dans la balise img, comme coup : 

    <img src="send_img.php?id=555" alt="">

    également vérifier l'extension de fichier avec EXIF avant de le télécharger.

    • Si vous utilisez une base de données, alors vous devez vous assurer que vous désinfecter le nom de fichier de la première.
    InformationsquelleAutor Mohamad Rostami
  8. 2

    La réponse la plus simple à autoriser les utilisateurs à télécharger des fichiers en toute sécurité en PHP est: Toujours enregistrer des fichiers à l'extérieur de la racine du document.

    Par exemple: Si la racine du document est /home/example/public_html, enregistrer des fichiers à /home/example/uploaded.

    Avec vos fichiers en toute sécurité hors de l'enceinte de l'être exécuté directement par votre serveur web, il ya un couple de façons dont vous pouvez toujours les rendre accessibles à vos visiteurs:

    1. Configurer un serveur virtuel séparé pour servir du contenu statique qui n'est jamais exécuté PHP, Perl, etc. les scripts.
    2. Télécharger les fichiers sur un autre serveur (par exemple, un bon VPS, Amazon S3, etc).
    3. De les garder sur le même serveur, et l'utilisation d'un script PHP pour des demandes de proxy pour s'assurer que le fichier est lisible, pas exécutable.

    Toutefois, si vous allez avec les options 1 ou 3 sur cette liste et que vous avez un local file inclusion vulnerability dans votre application, votre formulaire de téléchargement de fichier peut encore être un vecteur d'attaque.

    InformationsquelleAutor Scott Arciszewski
  9. 2

    Le meilleur façon de garder votre site est sécurisé lorsque l'utilisateur de télécharger l'image est pour cela suit :

    • vérifier l'extension de l'image
    • vérifier la taille de l'image avec cette fonction "getimagesize()"
    • après cela, vous pouvez utiliser la fonction "file_get_contents()"
    • En fin de compte, vous devez insérer file_Content à votre base de données
      je pense que c'est le meilleur moyen ! trouver quel est votre avis ?
    InformationsquelleAutor Hamza Ouha
  10. 0

    Pour un fichier image, vous pouvez également modifier les permissions du fichier après le changement de nom pour être sûr qu'il ne s'exécute jamais (rw-r--r--)

    • -1. Première: Le X (execute) indicateur n'est pas contrôlée par le client, il n'est pas fixé de toute façon. Deuxièmement: Le moteur PHP ne nécessite pas de fichiers X drapeau pour eux d'être exécuté.
    InformationsquelleAutor Jesus
  11. 0

    Je suis en utilisant php télécharger un script qui crée une nouvelle aléatoire de 4 octets pour chaque fichier téléchargé, puis XORs le contenu du fichier avec ces 4 octets (à répéter autant de fois que nécessaire), et enfin l'attache, les 4 octets dans le fichier avant de l'enregistrer.

    Pour le téléchargement, les 4 octets doivent être coupés de nouveau le fichier, le contenu sera XORed avec eux à nouveau et le résultat est envoyé au client.

    De cette façon, je peux être sûr que les fichiers que j'ai enregistrer sur le serveur ne sera pas exécutable ou ont un potentiel de sens que ce soit, pour n'importe quelle application. En Plus je n'ai pas besoin de base de données supplémentaire pour stocker les noms de fichiers dans.

    Voici le code que j'utilise:

    Upload:

            <?php
$outputfilename = $_POST['filename'];
$inputfile = $_FILES["myblob"]["tmp_name"];
$tempfilename="temp.tmp";
if( move_uploaded_file($inputfile, $tempfilename) ) {
$XORstring = random_bytes(4);
$tempfile=fopen($tempfilename, "r");
$outputfile=fopen($outputfilename, "w+");
flock($outputfilename, LOCK_EX);
fwrite($outputfilename, $XORbytes1);
while ( $buffer = fread($tempfile, 4) ) {
$buffer = $buffer ^ $XORstring;
fwrite($outputfilename, $buffer);
}
flock($outputfilename, LOCK_UN);
fclose($tempfile);
fclose($outputfile);
unlink($tempfilename);
}
exit(0);
?>

    Télécharger:

            <?php
$inputfilename = $_POST['filename'];
$tempfilename = "temp.tmp";
$inputfile=fopen($inputfilename, "r");
$tempfile=fopen($tempfilename, "w+");
flock($tempfile, LOCK_EX);
$XORstring = fread($inputfile, 4);
while ( $buffer = fread($inputfile, 4) ) {
$buffer = $buffer ^ $XORstring;
fwrite($tempfile, $buffer);
}
flock($tempfile, LOCK_UN);
fclose($inputfile);
fclose($tempfile);
readfile($tempfile);
unlink($tempfile);
exit(0);
?>
    InformationsquelleAutor Max M.