1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Evil Jpegs: Foto-Upload schleust…

Leider nichts Besonderes/keine Seltenheit.

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Leider nichts Besonderes/keine Seltenheit.

    Autor: Black87 21.04.15 - 12:08

    k.T.

  2. Re: Leider nichts Besonderes/keine Seltenheit.

    Autor: Wimmmmmmmmy 21.04.15 - 13:12

    Öhm. Das Problem mit bösen JPEG ist schon seit 9 Jahren bekannt. Wieso geht das denn immer noch. *kopfschüttelt*

  3. Re: Leider nichts Besonderes/keine Seltenheit.

    Autor: Lala Satalin Deviluke 21.04.15 - 13:16

    Wenn man schon JavaScript per PNG nachladen kann... XD

    Grüße vom Planeten Deviluke!

  4. [gelöscht]

    Autor: [gelöscht] 21.04.15 - 13:20

    [gelöscht]



    1 mal bearbeitet, zuletzt am 21.04.15 13:21 durch burzum.

  5. Re: Leider nichts Besonderes/keine Seltenheit.

    Autor: M. 22.04.15 - 11:40

    Das Problem ist, dass viele die Validierung falsch angehen. Wichtig ist, unter welchen Umständen der Webserver eine Datei als Code ausführt. Wenn das (wie üblich) nach Dateiendung geschieht, ist nur diese wichtig - der MIME-Typ und auch ob das Bild wirklich ein Bild ist, ist komplett egal (im Zweifel wird einem Betrachter halt ein ungültiges Bild ausgeliefert). Um mal zwei extremere Beispiele zu nennen - das Folgende sind zwei gültige Bilder (einmal PNG, einmal JPEG) ohne jegliche Metadaten, die besser nicht PHP vorgeworfen werden:

    Und selbst die Bilder zu öffnen, zu kopieren und wieder abzuspeichern ist kein ausreichender Schutz. Man kann Bilder bauen, die das überstehen und dann immer noch PHP/ASP/whatever-Code enthalten.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Engineer / System Architekt (m/w/d) Elektro-Pneumatik
    Continental AG, Regensburg
  2. Senior Systemadministrator Linux / DevOps Engineer (m/w/d)
    CipSoft GmbH, Regensburg
  3. Softwareentwickler / Inhouse Consultant (m/w/d)
    Peters Unternehmensgruppe GmbH & Co. KG, Moers
  4. Referent*in (Technik- und IT-Koordination) Archiv-Bibliothek-Dokumentat- ion
    Zweites Deutsches Fernsehen Anstalt des öffentlichen Rechts, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 25,99€
  2. Teilnahmeschluss 28.09., 19 Uhr
  3. 27,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Allianz-CTO: Die Trennung von Arbeit und Freizeit ist antiquiert
Allianz-CTO
"Die Trennung von Arbeit und Freizeit ist antiquiert"

CTOs im Interview Profi-Trompeter war sein Traum - stattdessen wurde Markus Löffler Sysadmin, Physiker, Direktor von McKinsey und der erste CTO der Allianz Versicherung. Wie schafft man als Quereinsteiger so eine Karriere in der IT?
Ein Interview von Maja Hoock

  1. Jaroslaw Kroczek von Boldare "Gute Bezahlung reicht heute nicht mehr aus"

Bundestagswahl 2021: Die Parteien im Datenschutz-Check
Bundestagswahl 2021
Die Parteien im Datenschutz-Check

Gesagt, getan? Wir haben geprüft, was CDU, SPD, Grüne, FDP, Linke und AfD zum Datenschutz fordern - und was sie selbst auf ihren Webseiten umsetzen.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Bundestagswahl Wahl-O-Mat 2021 ist online
  2. Bundestagswahl 2021 Einige Wahlbehörden nur über unsichere Mailserver erreichbar
  3. Kandidaten-Triell Sogar Gendern ist wichtiger als Digitalisierung

Custom Keyboard GMMK Pro: Tastatur selbst bauen macht Spaß
Custom Keyboard GMMK Pro
Tastatur selbst bauen macht Spaß

Wenn die mechanische Tastatur nicht ausreicht, kommt der Selbstbau in Frage. Ich habe klein angefangen und es am GMMK Pro ausprobiert.
Ein Erfahrungsbericht von Oliver Nickel

  1. ZSA Moonlander im Test Das Tastatur-Raumschiff
  2. Alloy Origins Core im Test Full Metal Keyboard
  3. Duckypad Mechanisches Tastenpad ermöglicht Makros und Tastenkürzel

  1. Smartphones: Googles neue Funktionen für Android
    Smartphones
    Googles neue Funktionen für Android

    Google hat eine Reihe von Verbesserungen für Android-Smartphones vorgestellt. Einiges davon wird in den nächsten Tagen aktiviert.

  2. Halbleiterproduktion: TSMC will klimaneutral werden
    Halbleiterproduktion
    TSMC will klimaneutral werden

    Der Chiphersteller TSMC hat angekündigt, bis 2050 seine Emissionen auf "Netto-Null" zu senken - setzt dabei aber auch auf fragwürdige Kompensationsprojekte.

  3. USA: Adblocker gegen Hacker und Geheimdienste
    USA
    Adblocker gegen Hacker und Geheimdienste

    Geheimdienste in den USA nutzen Adblocker, andere Behörden offenbar nicht. Ein US-Senator warnt daher vor Hacking und Erpressung.


  1. 09:20

  2. 09:00

  3. 08:34

  4. 08:16

  5. 08:01

  6. 07:48

  7. 07:33

  8. 07:18