1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Evil Jpegs: Foto-Upload schleust…
  6. Thema

Warum führt der Webserver denn sowas aus?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Re: Warum führt der Webserver denn sowas aus?

    Autor: Lala Satalin Deviluke 21.04.15 - 12:25

    Ja. Oder man verschiebt hochgeladene Files in ein Verzeichnis, auf das der Webserver kein Zugriff hat.

    Grüße vom Planeten Deviluke!

  2. Re: Warum führt der Webserver denn sowas aus?

    Autor: User_x 21.04.15 - 12:27

    dann könnte es doch auch nicht angezeigt werden?

  3. Re: Warum führt der Webserver denn sowas aus?

    Autor: Anonymer Nutzer 21.04.15 - 12:28

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > B: EXIF-Header direkt nach dem Upload entfernen

    Ich würde ja die kleinere Keule bevorzugen:

    A: "Traue nie dem Client" beherzigen
    B: EXIF-Header mit htmlentities() oder einem ASP-Äquivalent behandeln.

  4. Re: Warum führt der Webserver denn sowas aus?

    Autor: Lala Satalin Deviluke 21.04.15 - 12:30

    Doch natürlich, per ASPX oder PHP durchschleifen.

    Grüße vom Planeten Deviluke!

  5. [gelöscht]

    Autor: [gelöscht] 21.04.15 - 12:41

    [gelöscht]



    3 mal bearbeitet, zuletzt am 21.04.15 12:47 durch burzum.

  6. Re: Warum führt der Webserver denn sowas aus?

    Autor: Manga 21.04.15 - 12:42

    Die Lösung ist doch sehr einfach. Das hochgeladene Bild auslesen und explizit als jpg abspeichern. Alle Daten außer Bilddaten gehen dabei verloren.

  7. [gelöscht]

    Autor: [gelöscht] 21.04.15 - 12:49

    [gelöscht]

  8. Re: Warum führt der Webserver denn sowas aus?

    Autor: Cassiel 21.04.15 - 12:49

    Manga schrieb:
    --------------------------------------------------------------------------------
    > Die Lösung ist doch sehr einfach. Das hochgeladene Bild auslesen und
    > explizit als jpg abspeichern. Alle Daten außer Bilddaten gehen dabei
    > verloren.

    Oder gleich durch eine Bildbearbeitung jagen (serverseitig) und die hochgeladene Datei als neues Bild abspeichern Macht ja auch Sinn wenn der Benutzer 1900x1200 Pixel hochlädt, aber für das Profilfoto nur 640x480 benötigt werden.



    2 mal bearbeitet, zuletzt am 21.04.15 12:50 durch Cassiel.

  9. Re: Warum führt der Webserver denn sowas aus?

    Autor: Manga 21.04.15 - 12:59

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Manga schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Lösung ist doch sehr einfach. Das hochgeladene Bild auslesen und
    > > explizit als jpg abspeichern. Alle Daten außer Bilddaten gehen dabei
    > > verloren.
    >
    > Und der Support klingelt bei Dir durch weil die User sich beschweren das
    > Datum, Ort und ISO Werte ihrer Bilder nach dem Upload weg sind?
    >
    > Die einzig saubere Lösung ist das Grundproblem zu beheben das eigentlich
    > keines sein sollte wenn man eine fähige Firma angeheuert hätte. ;)

    Dann schreibe ich eben in rot daneben, dass Datum Ort und ISO Werte beim Upload verloren gehen.

  10. Re: Warum führt der Webserver denn sowas aus?

    Autor: Manga 21.04.15 - 13:00

    Cassiel schrieb:
    --------------------------------------------------------------------------------
    > Manga schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Lösung ist doch sehr einfach. Das hochgeladene Bild auslesen und
    > > explizit als jpg abspeichern. Alle Daten außer Bilddaten gehen dabei
    > > verloren.
    >
    > Oder gleich durch eine Bildbearbeitung jagen (serverseitig) und die
    > hochgeladene Datei als neues Bild abspeichern Macht ja auch Sinn wenn der
    > Benutzer 1900x1200 Pixel hochlädt, aber für das Profilfoto nur 640x480
    > benötigt werden.

    genau

  11. Re: Warum führt der Webserver denn sowas aus?

    Autor: Anonymer Nutzer 21.04.15 - 13:02

    Manga schrieb:
    --------------------------------------------------------------------------------
    > Dann schreibe ich eben in rot daneben, dass Datum Ort und ISO Werte beim
    > Upload verloren gehen.

    Was auf Fotoplattformen immer sehr gut ankommt.

  12. Re: Warum führt der Webserver denn sowas aus?

    Autor: angrydanielnerd 21.04.15 - 13:03

    Funktioniert aber auch nur bei JPEGS die im Datenteil keine "<?" Zeichenkette enthalten. Grade mal mit einem beliebigen JPEG getestet, 16x "<?" enthalten, PHP läuft auf einen Parse Error.

    Eine 1x1 Pixel große Datei klappt allerdings einwandfrei.

  13. Re: Warum führt der Webserver denn sowas aus?

    Autor: Lala Satalin Deviluke 21.04.15 - 13:07

    Ist ja nicht so, als könnte man nicht die EXIF-Daten parsen und in die Datenbank speichern, wenn die ach so wichtig sind.

    Grüße vom Planeten Deviluke!



    1 mal bearbeitet, zuletzt am 21.04.15 13:07 durch Lala Satalin Deviluke.

  14. Re: Warum führt der Webserver denn sowas aus?

    Autor: smonkey 21.04.15 - 13:08

    Also meiner beschiedenen Meinung nach, ist der Fehler einfach der, dass das Upload-Skript alle Dateiendungen akzeptiert und schlimmer noch, die Dateien auch unter der gleichen Endung speichert.

    Weiter wurde hier von einer nginx-Konfiguration gesprochen, welches alles aus ausführbaren Code betrachtet. Ich meine, dabei kann es sich nur eine fehlerhafte Konfiguration handeln. Schon alleine Performance technisch, macht es überhaupt keinen Sinn jede statische Datei (Grafiken, JS, CSS, etc.) durch einen Interpreter zu jagen.
    Ferner dürfte ich ja gar keine Datei akzeptieren, nicht mal eine Text-Datei, PDF o.Ä. ohne die Dateien explizit auf Code zu scannen. Und dies gestaltet sich nicht gerade leicht, das es unzählige Möglichkeiten gibt den Code zu verschleiern.

  15. [gelöscht]

    Autor: [gelöscht] 21.04.15 - 13:19

    [gelöscht]

  16. Re: Warum führt der Webserver denn sowas aus?

    Autor: Quantium40 21.04.15 - 13:29

    Lala Satalin Deviluke schrieb:
    > Die Lücke lässt sich wie folgt mit 2 verschiedenen einfachen Vorkehrungen
    > schließen:
    > A: JPEG-Header UND Dateiendung .jpg erwarten!
    > B: EXIF-Header direkt nach dem Upload entfernen

    Oder man hat die Uploads nicht als Dateien auf den Server sondern packt sie gleich als BLOB in eine Datenbank.
    Das hat dann gleich den Vorteil, dass man Traffic-Schnorrer, die Bilder von anderen Seiten aus verlinken, wirksam und unkompliziert blocken kann.

  17. Re: Warum führt der Webserver denn sowas aus?

    Autor: Quantium40 21.04.15 - 13:33

    Cassiel schrieb:
    > Oder gleich durch eine Bildbearbeitung jagen (serverseitig) und die
    > hochgeladene Datei als neues Bild abspeichern Macht ja auch Sinn wenn der
    > Benutzer 1900x1200 Pixel hochlädt, aber für das Profilfoto nur 640x480
    > benötigt werden.

    Ich entsinne mich dunkel, dass es da schon mal eine Angriffsvariante gab, die mit clever konstruierten nicht standardgemäßen JPEGs an der Stelle die Bildverarbeitungskomponente für den eigentlichen Angriff mißbrauchte.

  18. Re: Warum führt der Webserver denn sowas aus?

    Autor: Lala Satalin Deviluke 21.04.15 - 13:41

    Das ist aber alles andere als so trivial wie hier im Artikel beschrieben, denn man muss dort einen Speicher-Überlauf verursachen.

    Grüße vom Planeten Deviluke!

  19. Re: Warum führt der Webserver denn sowas aus?

    Autor: RonnyStiftel 21.04.15 - 14:03

    Weil die Endung einer Datei relativ unbedeutend ist. Auch ist es weitaus sauberer anhand des Headers zu bestimmen was passiert.

    PS:
    jpg, .jpeg, .jpe
    .jif, .jfif, .jfi

    Sind momentan alles mögliche "Endungen" für das JPEG Format.

  20. Re: Warum führt der Webserver denn sowas aus?

    Autor: RonnyStiftel 21.04.15 - 14:05

    Die "Endung" für das JPEG Datenformat ist nicht zwangsläufig .jpg.
    Derzeit benutzte "Endungen":
    jpg, .jpeg, .jpe
    .jif, .jfif, .jfi

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Data-Analyst (d/m/w) Ökonometrie, Statistik
    Prognos AG - Wir geben Orientierung., Freiburg im Breisgau, Berlin, München
  2. IT-Systemadministrator (m/w/d)
    Verwaltungsgesellschaft der Akademie zur Förderung der Kommunikation mbH, Stuttgart
  3. Service Manager Windows Serversysteme (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Dresden, Ingolstadt, Leinfelden-Echterdingen
  4. Informatiker/in (FH-Diplom / Bachelor / Fachinformatiker/in [m/w/d])
    Zentrum Bayern Familie und Soziales Dienststelle Zentrale Personalmanagement, Bayreuth

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de