Beveiligings check

djordyh

Hey,

Ik heb dus een klein scriptje, waarbij de gebruiker een naam invult, en een .zip file upload.
Vervolgens wordt er dan op de server een mapje aangemaakt in een 'uploads' folder, met de opgegeven naam, en dan in het mapje wordt de zip uitgepakt.

Dit werkt allemaal perfect, maar voordat ik het wil gaan gebruiken op me site, ik twijfel nog erg over de veiligheid van het script.
Zou iemand me kunnen vertellen of ik iets over het hoofd ziet? De upload folder wordt met htaccess beveiligt, de rest van de beveiliging zit in het scriptje.

Tot nu toe heb ik:

- Extensie check via mime. Het bestandje moet een .zip file zijn anders upload hij niet.
- Filesize check. Het bestandje mag niet groter zijn dan 1MB.
- Naam check. Als er al een mapje met precies de zelfde opgegeven naam bestaat op de server, upload hij niet.

Zijn er nog meer dingen waar ik op moet letten? En zijn er eventeel ook nog andere risico's waar ik op moet letten?

iCold

Hij de .zip wordt uitgepakt? Dat betekend toch dat de gebruiker ook o.a PHP bestanden kan uploaden ?

Luc

Wat gebeurt er met de uitgepakte zips? Want als ik daar kwaadwillende code inlaad is het per definitie niet veilig.

Stel ik maak een zip, met daarin allemaal php bestanden. Worden deze dan uitgevoerd of niet?

djordyh

Als het goedis pakt hij het enkel uit
Het upload & extract gedeelte is dit:

PHP

if(move_uploaded_file($source, $target_path)) { // No errors, file has to be uploaded
		$zip = new ZipArchive(); // Start a new ZIP
		$x = $zip->open($target_path); // Open the target path
		if ($x === true) { // The target path has been opent
			$zip->extractTo("uploads/$title/"); // Extract the ZIP file in here
			$zip->close(); // Close the ZIP
	
			unlink($target_path); // End the connection to the target path
		} // End if x = true
		$message = "Your .zip file was uploaded and unpacked."; // ZIP is uploaded succesfully. Message.
		
	} else {	
		$message = "There was a problem with the upload. Please try again."; // Some thing went wrong. Error.
	} // End if move uploaded file

Toon Meer

Hierbij worden de bestanden niet geopend/uitgevoerd volgens mij

WHMCSAddons

@Sukel
Hoeft niet uitgevoerd te worden, als de bestanden al op de FTP staan is dit al voldoende om kwaadwillende code uit te willen voeren.

Tredgy

Zou ik niet gebruiken nee.

djordyh

Citaat van Wmdiensten

@Sukel
Hoeft niet uitgevoerd te worden, als de bestanden al op de FTP staan is dit al voldoende om kwaadwillende code uit te willen voeren.

Hoe dan precies? Want de upload directory wordt beveiligt met HTACCESS.

Citaat van Tredgy

Zou ik niet gebruiken nee.

Eeks. Zijn er betere methodes?

cakemasher

Klopt, maar de bestanden zijn wel aanwezig op de server. Dit is eventueel op te lossen d.m.v. bijv. een .htaccess bestand in de map te plaatsen waarin staat 'deny from all' of php bestanden etc. niet laten uitpakken door je uitpak scriptje.

WHMCSAddons

@Sukel
Ooit gehoord van SHELL99 exploit code? Wellicht handig als je het een en ander uitzoekt daarover dan heb je meer informatie hierover.
Er bestaan nog veel meer van dit soort exploits, ze zien er onschuldig uit maar kunnen je een hoop narigheid bezorgen

Tredgy

Ik raad je aan de zip te uploaden naar een OS safe directory waar os level commands beschikbaar zijn, dan daar met een zip safe file checker via command line interference te controleren of hij veilig is dan uitpakken en verplaatsen met php's stream_to_stream.

WHMCSAddons

Tredgy
Welke advies bedoel je dan precies, zover ik lees raad iedereen het gebruik op de huidige manier af.

Tredgy

Excuse ik las een reactie verkeerd heb de regel van vorige post verwijderd.

Citaat van Wmdiensten

Tredgy
Welke advies bedoel je dan precies, zover ik lees raad iedereen het gebruik op de huidige manier af.

djordyh

Citaat van Tredgy

Ik raad je aan de zip te uploaden naar een OS safe directory waar os level commands beschikbaar zijn, dan daar met een zip safe file checker via command line interference te controleren of hij veilig is dan uitpakken en verplaatsen met php's stream_to_stream.

O.o
Haha sorry, dit gaat even te ver over mijn 'knowledge' heen haha.
Hoe werkt dit precies?

jopitan

Eigenlijk is het aangeraden om bestanden die je voor de gebruiker niet beschikbaar wilt hebben buiten de webroot te zetten.

Je oplossing met .htaccess (Deny from all) in de "uploads" directory is overigens niet verkeerd en ook niet onveilig. Het nadeel kan alleen zijn dat mocht er een syntax error zijn dat de htaccess mogelijk verkeerd geïnterpreteerd wordt of totaal niet geladen wordt (denk aan verkeerde apache configuratie). Een ander punt is dat je mogelijk met verouderde software werkt waardoor er mogelijke lekken kunnen worden misbruikt, dus zorg dat je software up-to-date is.

Stel dat je dat allemaal gewoon op orde hebt, dan is er niks mis met een .htaccess beveiliging. De gebruiker kan hier niet omheen werken.
Als een kwaadwillende shell access krijgt tot jouw account, dan heb je wel een probleem, maar ik zou mij dan meer druk maken om het feit dat iemand überhaupt toegang heeft gekregen tot een shell account inplaats van je druk te maken om het feit dat ze nu bij die paar geüploade bestanden kunnen.

Mocht shell access voor je account niet ingeschakeld staan, dan is er niks aan de hand.

djordyh

Bedankt allemaal!
Ik denk dat ik er zo wel uitkom

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Van een pixelige afbeelding naar een strakke, moderne website

Beveiligings check

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken