[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

Ferruh Mavituna ferruh at mavituna.com
Fri Feb 22 04:21:09 EST 2008


Bu dogru, Ek olarak EXIF gibi alanlar bayagi bir data saklamaya izin
veriyor, gerci bu sorun tarayicilara ozgu oldugundan ve aslinda teorik
olarak tarayicinin resmi HTML olarak islemeye calismamasi gerekiyor ancak
maalesef IE deki ornek gibi olabiliyor.

Bildigim kadariyla mukemmel bir bu resim formati guvenli mi diye kontrol
etme yontemi yok ama su yapilabilir :

Upload edilen resim baska bir resim formatina cevrilir, bu durumda eger
cevirimde hata varsa resim gecerli degildir, eger cevirim basarili ise zaten
icerisindeki data silinmis olacaktir. Bu cevirim sirasinda EXIF vs. gibi
datalarin tutulmadigindan emin olmakta onemli. Bu olay ek olarak Local File
Inclusion aciklarina karsi da iyi bir onlem. Ek olarak bu WMF gibi
soruncikartabilen dosya formatlarindan da otomatik olarak kurtulmak anlamina
geliyor.

Son olarak burada kullanilan image library sinin guvenligi cok onemli,
saldirgan bu library deki bir acigi da exploit edebilir. Bir de gene
unutmadan bu libraryler kendi imzalarina resim ciktilarina koyabiliyorlar
burada da potansiyel bir information leakage / bilgi sizdirma acigi var. Ona
da dikkat edilmeli diye dusunuyorum.



On 21/02/2008, Mesut Timur <mesut at h-labs.org> wrote:
>
>
>
> Aklima geldi lakin bu cozumden tam emin degilim. Zira ornegin GIF icin
> GIF89a ekleyip bu atraksiyonu gecebiliyorduk diye hatirliyorum, haricinde
> tum grafik turleri headerlarini kontrol edip tum browserlarda ayni korumanin
> gecerli oldugunu test etmemiz gerekir bu cozume inanmak icin. Gerci baska
> turlu nasil kontrol yapilacak fikrim yok ve hakli olabilirsiniz aslinda ama
> belki daha iyi bir cozum olabilir.
>
> Mesut TİMUR
> *http://www.h-labs.org*<http://mail2web.com/cgi-bin/redir.asp?lid=0&newsite=http://www.h-labs.org>
> H - Security Labs Güvenlik Editörü
> GYTE Bilgisayar Mühendisliği
>
>
> ------------------------------
> From: vuzun at csusb.edu
> To: mesut at h-labs.org
> CC: owasp-turkey at lists.owasp.org
> Date: Thu, 21 Feb 2008 13:51:17 -0800
> Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
>
> acaba dosyayip acip headeri okumaya calismak cozum olabilir mi
>
> ----- Original Message -----
> From: Mesut Timur <mesut at h-labs.org>
> Date: Thursday, February 21, 2008 1:41 pm
> Subject: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
> To: owasp-turkey at lists.owasp.org
>
> >
> > Merhaba;
> >
> >
> >
> > Test ettigim bir web uygulamasinda bir fotograf albumu
> > olusturulabiliyor, ve file upload isini dogru duzgun sekilde
> > yapamamislar.Anladigim kadariyla upload edilen dosyanin sadece
> > uzantisidenetleniyor, sizin de tahmin edeceginiz uzere grafik
> > dosyasinin icine
> > client-side payload'unuzu yerlestirerek guzelce (en azindan IE
> > uzerinde) XSS yapabiliyorsunuz.
> >
> >
> >
> > Simdi sorum su :  Verilen grafik dosyasinin gercekten grafik olup
> > olmadigini denetlemek icin, Asp.NET'te kullandiginiz bir library
> > ya da
> > cozum var mi?
> >
> >
> >
> > Sevgiler, saygilar , iyi calismalar!
> >
> >
> > Mesut TİMUR
> > http://www.h-labs.org
> > H - Security Labs Güvenlik Editörü
> > GYTE Bilgisayar Mühendisliği
> > _________________________________________________________________
> > Helping your favorite cause is as easy as instant messaging. You
> > IM, we give.
> > http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join
> >
>
>
> ------------------------------
> Need to know the score, the latest news, or you need your Hotmail(R)-get
> your "fix". Check it out. <http://www.msnmobilefix.com/Default.aspx>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080222/747833f0/attachment.html 


More information about the Owasp-turkey mailing list