CI_Upload sınıfı güvenlik uyarısı

Maqas.Net seminerinde anlatmak üzere yaptığımız güvenlik çalışmaları esnasında farkettik ki, CI_Upload sınıfı sağlıklı bir filtreleme işlemi yapamıyor. Kendi belirlediği dosya türleri(mime type) ile çalışmak isteyen kişiler için riskler var. jpg, png ve gif dışındaki filtrelemelerde upload klasörüne kolaylıkla *.php (yada istediğiniz bir formatta) dosya gönderebiliyorsunuz. .htaccess dosyası aracılığı ile de yükleme klasörüne bir engelleme koymamışsanız dosya ve veritabanı bilgilerini çaldırabileceğiniz gibi, bilgilerin kaybolmasına da sebebiyet verebilirsiniz.


Bu konuyla ilgili detayları derleyip, Maqas.Net seminerinde anlatacak ve bu açığı ekip olarak CodeIgniter yazılım grubuna ileteceğiz. Gerekli düzenlemeler yapılıncaya kadar upload klasörünüzdeki .htaccess  dosyanıza

HTACCESS kodu
    <FilesMatch "\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi)$"> 
ForceType text/plain 
</FilesMatch>

satırlarını ekleyerek önlem alabilirsiniz.

Okunma: 291 , Oy Sayısı: 14 , Puan: 9.29

Etiketler

ci_upload guvenlik ,

kuaza19 Mart 2010 Cuma 23:49:28


cok iyi farketmissiniz hocam, tesekkurler..
||


deathisonitsway22 Mart 2010 Pazartesi 01:44:34


boyle bir amele fw lerde calısmak hiç akıl karı degil bana kalırsa :)
||


Gündüz Can YILMAZ22 Mart 2010 Pazartesi 17:02:31


Ben de frameworklere sıcak bakmayanlardanım :) Aslında sıcak bakmıyor değilim de, ben yazabiliyorsam neden başkasının yazdığı kodu kullanayım diyorum. Javascripte pek hakim olamadığım için kolaylaştırılmış bir kütüphane olan JQuery'yi kullanmaktan da çekinmiyorum :)
||


Metin Seylan22 Mart 2010 Pazartesi 20:32:23


bende CI öğrenme operasyonlarına başlayacaktım :) öğrendiğim iyi oldu.

aslında bende fw lere yeni yeni başlamama rağmen sıcak bakmıyorum açıkcası en iyisi kendi fw ni yazbiliyorsan kendi fw ni yazacaksın en azından neyin nerde olduğunu bilirsin.

not: Seyranlı abim şu mesaj kısmınada bi nl2br yapsanda rahat rahat okusak :)
||


Gündüz Can YILMAZ22 Mart 2010 Pazartesi 22:42:47


CI'yi kullanan herkes beğendiğine göre kaliteli birşey olduğu kesin. O yüzden yine CI ile de ilgilenmenizi tavsiye ederim. En azından neyi nasıl çözmüşler onu görürsünüz, belki farklı düşündüğünüz yerler olabilir. karşılaştırıp hmm bu iyiymiş veya ben daha iyisini yapmışım diyeceğiniz şeyler de olabilir.

nl2br tamamdır :)
||


Gökhan25 Mart 2010 Perşembe 18:27:22


Can kardeşim peki bir soru sorsam oop kod mu yoksa spagatti kod mu ne dersin? :D işin şakası bir yana CI'le yeni yeni bakmaya başlamıştımki hemen buldunuz bir açığını iki dakika rahat durun yahu :))
||




Yorumunuz