Насколько повысит безопасность сайта принцип хранить картинки на другом сервере?

Question

Антон Р. @anton_reut

Начинающий веб-разработчик

Насколько повысит безопасность сайта принцип хранить картинки на другом сервере?

Много читаю про то что при загрузке картинок пользователями часто можно подхватить вредоносный скрипт (шелл, бэкдор и пр.), но если я буду хранить все картинки на совершенно другом сервере с другим доменом и вообще на разных аккаунтах хостинга - насколько это поможет защитить программную часть самого "движка"?
Ну и еще вопросец по теме - почему на многих сайтах запрещено загружать гифки хотя встроить кусок php-кода можно и в джипег?

Вопрос задан более трёх лет назад
199 просмотров

3 комментария

Подписаться 1 Простой 3 комментария

Kerm @Kerm

Ты когда загружаешь файл на сервер то проверяешь его Mime тип и расширение и если расширение файла не "png","jpg","gif","jpeg" то файл не грузишь, далее проверяешь Mime тип и если он не 'image/jpeg', 'image/gif', 'image/png', 'image/jpg' то файл не грузишь и в nginx к примеру можно сделать запрет на запуск PHP кода для определенной категории.

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

Kerm, на хабре в статье писали интересные примеры когда даже в корректном файле картинки прямо в коде в начале файла был забит php-код, и еще куда то пихали не помню куда, в общем как один из вариантов убить такой скрипт - сделать резайз картинки на 1 пиксель (в комментах предлагали), тогда вся левая инфа из тела картинки удаляется.
https://habr.com/ru/post/44610/

Написано более трёх лет назад
Kerm @Kerm

Антон Р., все зависит от настроек сервера, можно работать с файлом в процессе его сохранения на сервере в плоть того же ресайза на 1 пиксел или снижения качества.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

3 комментария

Антон Р. @anton_reut Автор вопроса

"отдачей статики без обработки" - не очень понял этот момент, вы имеете в в иду вывод картинки без обработки как есть?

Написано более трёх лет назад
Антон Р. @anton_reut Автор вопроса

"и последующей обработкой их IM." - что такое IM и зачем оно нужно если ресайз или кроп можно сделать средствами php напрямую?

Написано более трёх лет назад
Adamos @Adamos

Антон Р., отдача статики без обработки - это, например, в связке nginx + apache Апачу передаются на исполнение только php-скрипты, а картинки и css/js nginx отдает сразу, никак не обрабатывая. Так скрипт, залитый с расширением картинки, на сервере никак не исполнится.

IM - ImageMagick строчкой выше. РНР для обработки картинок использует как раз эту библиотеку.

Написано более трёх лет назад

3 комментария

Антон Р. @anton_reut Автор вопроса

предлагаете загружать картинки сразу на основной сервер сверяя только расширение? А вы любите рисковать )

Написано более трёх лет назад
Kerm @Kerm

Антон Р., я не чего не предлагал.

Написано более трёх лет назад
Kerm @Kerm

Антон Р., а по поводу предложений, почитайте про mime_content_type для начала, после можно да, именно, проверять по расширению файла, далее можно переименовывать сохраненные картинки и можно запретить использование php в папке куда сохраняете картинки.

Написано более трёх лет назад

5 комментариев

Антон Р. @anton_reut Автор вопроса

Генерация рандомного имени это первое что я сделал, например так:

//Генерация случайного имени картинки:
	$image_extension = strtolower(substr(strrchr($_FILES['image']['name'], '.'), 1));
	$_FILES['image']['name'] = md5(time() . uniqid($more_entropy=true)) . "." . $image_extension;

Написано более трёх лет назад

SagePtr @SagePtr

$image_extension = strtolower(substr(strrchr($_FILES['image']['name'], '.'), 1));
Но тут расширение файла берётся из $_FILES['image']['name'] - а его передаёт на сервер именно браузер пользователя. В этом и заключается у вас дыра, а что если расширение файла будет php или любое другое, обрабатываемое сервером как интерпретируемый скрипт.
Так делать не надо, нужно завести список допустимых расширений и уже из этого списка выбирать наиболее подходящий вариант.

Написано более трёх лет назад

Антон Р. @anton_reut Автор вопроса

SagePtr, да, проверками еще не обвешивал скрипт.
Вот только что написал такую обработку:

// Узнаем всю информацию о файле
	$imageInfo = getimagesize($_FILES['image']['tmp_name']);
	list($width, $height, $type, $gabarite, $bits, $channels, $mime) = $imageInfo;
	
	// Проверяем тип и mime
	if($type != 2 && $mime != 'image/jpeg'){
		$errors[] = "Ошибка! Допускаются только картинки в формате jpg!";
	}
	else {
		$image_extension = 'jpg';
	}
	
	// Проверяем вес картинки
	$volume = $_FILES['image']['size'];
	if($volume > 2097152){
		$errors[] = "Ошибка! Файл превышает допустимый объем 2 мегабайта!";
	}

Ну и дальше если массив $errors пустой то есть ошибок нет то заносим картинку в папку предварительно переименовав и добавив .jpg в конце

Написано более трёх лет назад

Антон Р. @anton_reut Автор вопроса

SagePtr, блин, прочитал что нельзя доверять mime информации из функции getimagesize(), завтра немного по-другому сделаю.

Написано более трёх лет назад
Kerm @Kerm

Антон Р., а для кого я писал про mime_content_type

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Простой
Как работает спам сообщений в ютубе?
- 1 подписчик
- вчера
- 105 просмотров
2

ответа
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 2 подписчика
- вчера
- 181 просмотр
1

ответ
Веб-разработка

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 23 апр.
- 40 просмотров
0

ответов
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 23 апр.
- 41 просмотр
0

ответов
Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- 22 апр.
- 139 просмотров
3

ответа
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- 22 апр.
- 94 просмотра
1

ответ
Информационная безопасность

+1 ещё

Средний
Может ли при подключении внешний жёсткий диск показать иной серийный номер?
- 1 подписчик
- 22 апр.
- 77 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- 22 апр.
- 90 просмотров
1

ответ
Информационная безопасность

+1 ещё

Простой
В каких случаях возможно использование несертифицированного Web Application Firewall?
- 2 подписчика
- 22 апр.
- 156 просмотров
2

ответа
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- 21 апр.
- 91 просмотр
3

ответа
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Fullstack PHP Developer

Smapse Education

от 40 000 до 65 000 ₽

Разработка дизайна для мобильного приложения

25 апр. 2024, в 18:47

2795100 руб./за проект

Ищем программиста для поддержки сайта на PHP Laravel/Symfony

25 апр. 2024, в 18:36

10000 руб./за проект

Доработка мобильного приложения React Native iOS/Android

25 апр. 2024, в 18:32

50000 руб./за проект

Ты когда загружаешь файл на сервер то проверяешь его Mime тип и расширение и если расширение файла не "png","jpg","gif","jpeg" то файл не грузишь, далее проверяешь Mime тип и если он не 'image/jpeg', 'image/gif', 'image/png', 'image/jpg' то файл не грузишь и в nginx к примеру можно сделать запрет на запуск PHP кода для определенной категории.
Kerm, на хабре в статье писали интересные примеры когда даже в корректном файле картинки прямо в коде в начале файла был забит php-код, и еще куда то пихали не помню куда, в общем как один из вариантов убить такой скрипт - сделать резайз картинки на 1 пиксель (в комментах предлагали), тогда вся левая инфа из тела картинки удаляется.
https://habr.com/ru/post/44610/
Антон Р., все зависит от настроек сервера, можно работать с файлом в процессе его сохранения на сервере в плоть того же ресайза на 1 пиксел или снижения качества.

Answer 1 · 2019-08-01 17:59:53

Картинки могут использовать три вида уязвимостей:
1. В настройках вашего сервера. Если у вас можно загрузить картинку и обратиться к ней, и она останется неизменной и может оказаться не картинкой, а скриптом, который выполнится на сервере. Искореняется проверкой MIME и отдачей статики без обработки.
2. В библиотеках пользователя (старые версии libpng, например). В дикой природе практически не встречается, но если угодно, можно перекодировать файлы, используя ImageMagick.
3. И вот тут всплывает третий вариант: атака самого IM всякими форматами, в которых поддерживаются внешние ссылки. Искореняется ограничением того, что вообще можно загрузить и обработать, PNG и JPG, и последующей обработкой их IM.
На практике получаем, что проверка MIME и перекодирование IM решает все ваши проблемы. Заодно и еще одну - вам не навалят файлы такого размера, что внезапно кончится место на хостинге.
А вынос на другой сервер - вообще ни о чем. Только лаги увеличивать. Так делают для очень высоконагруженных проектов... но там и таких вопросов не задают ;)

Answer 2 · 2019-08-01 17:04:23

Kerm @Kerm

spoiler

Это тот случай где читать надо меньше

Ответ написан более трёх лет назад

3 комментария

Answer 3 · 2019-08-01 17:26:50

Много читаю про то что при загрузке картинок пользователями часто можно подхватить вредоносный скрипт (шелл, бэкдор и пр.)

Если при сохранении файла полагаться на то имя, что юзер передал - то да, будет огромная дыра. А если имя в скрипте как-нибудь безопасно генерировать, то никакой дыры не будет, сервер не будет исполнять эти файлы PHP-интерпретатором. К примеру, в качестве имени - хэш от содержимого файла (заодно поможет бороться с дублями), в качестве расширения - либо jpeg, либо gif, либо png, исходя из первых нескольки байтов файла (если не попадает ни под один из указанных форматов - то отказ)

Насколько повысит безопасность сайта принцип хранить картинки на другом сервере?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт