[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

E&Erdem e2erdem at gmail.com
Fri Feb 22 04:40:09 EST 2008


2008/2/21 Mesut Timur <mesut at h-labs.org>:
>
>  Merhaba;
>
>  Test ettigim bir web uygulamasinda bir fotograf albumu olusturulabiliyor,
> ve file upload isini dogru duzgun sekilde yapamamislar.Anladigim kadariyla
> upload edilen dosyanin sadece uzantisi denetleniyor, sizin de tahmin
> edeceginiz uzere grafik dosyasinin icine client-side payload'unuzu
> yerlestirerek guzelce (en azindan IE uzerinde) XSS yapabiliyorsunuz.
>
>  Simdi sorum su :  Verilen grafik dosyasinin gercekten grafik olup
> olmadigini denetlemek icin, Asp.NET'te kullandiginiz bir library ya da cozum
> var mi?
Bu konuda (Sadece .NET icin degil, diger diller icin de gecerli)
hazirlanmis oldukca iyi bir "white paper" okumustum fakat simdi
Google'dan hizli bir aramayla bulamadim. 6 farkli "validation" yontemi
kullanilarak alinan dosyanin gercekten grafik dosyasi olup olmadiginin
anlasilmasina, yuklenen dosyalarin "kotu amacli" kullaniminin
onlenmesine yonelik bir calismaydi.

Dosya uzantisi kontrolu, header kontrolu, grafik icin boyut
(yukseklik/genislik) kontrolu, dosyalarin yer/isimlerinin
degistirilmesi aklima ilk gelenler. Uygun bir vakitte belgeyi tekrar
arayip bulabilirsem listeye atarim.

Iyi calismalar...


More information about the Owasp-turkey mailing list