|
|
|
| Подскажите, в инете перерыл инфу, но так конкретно и не нашел:
1. Как обрабатывать swf изображения при загрузке пользователем на сайт? Какие вы можете посоветовать средства.
2. Возможна ли вставка вредоносного кода в swf изображение?
jpg, gif, png обрабатываю классом imagick, удаляя временный файл и на его основе создавая новый, перед этим соответ. проверяются размер, расширение и т.д. | |
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 15:00)
| | SWF, это далеко не изображение какими являются jpg, gif, png. Кроме векторной графики, звука, этот файл может содержать и активные сценарии со всеми вытекающими из этого последствиями.
Что означает проверить этот файл, не понятно. | |
|
|
|
|
|
|
|
для: confirm
(14.04.2013 в 16:20)
| | Проверить на наличие вредоносного кода каким образом?
Как правильно обрабатывается swf формат при загрузке пользователем? | |
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 16:24)
| | Ну и каким образом вы найдете срипт внутри файла, а главное определите вреден он или нет?
На клиенте безопасность - это настройки как системные так и браузера. Flash Player (который собственно и проигрывает данные файлы) также имеет политику безопасности (в последних версиях она настраивается на клиенте, в ранних нужно посетить соответствующую страницу Adobe). | |
|
|
|
|
|
|
|
для: confirm
(14.04.2013 в 18:07)
| | Вы все же конкретно не говорите..
То есть пользователь может загружать swf баннера до 100 кб на мой сайт, при этом я могу быть спокоен за безопасность сайта, что там будет отсутствовать вредоносный код (который можно вставить в картинки другого расширения).
Просто я не понимаю, почему например в jpg или другой формат мы можем дописать произвольный вредоносный код в конец, например <?php system($_GET['command']); ?>, а в .swf так сделать нельзя? | |
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 19:07)
| | А что вам конкретно сказать?
Если захотеть, то можно и вытянуть из этого файла скрипт, если знать структуру этого файла. Но что я вам могу сказать о том как узнать вреден он или нет? По этому вопросу обращайтесь к Касперскому для консультаций, ибо это сложный вопрос.
Я могу сказать конкретно - в РНР функции типа search_trojan_code(string) нет. Этого вам будет достаточно?
<?php system($_GET['command']); ?> - допишите и запустите, а уж потом... | |
|
|
|
|
|
|
|
для: confirm
(14.04.2013 в 19:18)
| | >Если захотеть, то можно и вытянуть из этого файла скрипт, если знать структуру этого файла.
То есть с ваших слов можно сказать, что юезр может вставить <?php system($_GET['command']); ?> и выполнить если захочет? Не могли бы конкретнее писать? Очень размыто. | |
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 19:42)
| | Во что вставить, в SWF? Вставьте сперва этот php-код в какое либо изображение и попробуйте запустить его. О результатах сообщите. Это будет лучшим ответом на ваш вопрос. | |
|
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 20:54)
| | Я много чего читал. А вы внимательно прочтите, и поймите о чем же там речь идет.
Чтобы понять, создайте файл с внедренным кодом, а потом разберитесь при каких условиях этот код можно запустить на сервере. Таким образом отделите мух от котлет. | |
|
|
|
|
|
|
|
для: Ванек2010
(14.04.2013 в 19:07)
| | > То есть пользователь может загружать swf баннера до 100 кб на мой сайт, при этом я могу
> быть спокоен за безопасность сайта, что там будет отсутствовать вредоносный код
По-моему ничего надежнее премодерации в этой ситуации быть не может. | |
|
|
|