Autor Thema: "Your attachment has failed security checks and cannot be uploaded."  (Gelesen 10939 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline gh-baden

  • Benutzer
  • Beiträge: 1.800
Re: "Your attachment has failed security checks and cannot be uploaded."
« Antwort #40 am: Mo 25.04.2022, 13:51:30 »
[…] Die Upload-Funktion sucht in der kompletten (binären) Bilddatei nach gewissen Strings, ohne Beachtung der Groß- und Kleinschreibung:

if (preg_match('~(iframe|(?<!cellTextIs)html|eval|body|script\W|[CF]WS[\x01-\x0C])~i', $prev_chunk . $cur_chunk) === 1)https://github.com/SimpleMachines/SMF2.1/blob/2e4a1e872c7f093647ec31cf5d4277aed9772c4f/Sources/Subs-Graphics.php#L224
(Wenn der Modus "paranoider Check" aktiviert ist, ist die Liste noch länger.)

Doof bloß, dass der String "eval" in den XMP-Metadaten meiner Fotos vorkommt: […] Sehr lästig, diese Forensoftware.

Selbst wenn man Metadaten entfernt - diese „Strings“ können durchaus auch in Bildern als Werte zufällig vorkommen, je kürzer desto wahrscheinlicher.

Allerdings ist Bildupload im Web idT nicht ganz einfach sicher zu kriegen. Die Standardmethode „frag ich halt eine Library, ob das ein gültiges Bild ist“ nimmt dann oft imagemagick hinzu, und das hatte schon öfter Sicherheitslecks die genau so zur Übernahme eines Webservers führten.
Wider dem Signaturspam!