[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

Murat Topçu murattpc at gmail.com
Fri Feb 22 04:53:58 EST 2008


Grafiğin üzerine ufak bir yazı yazdır bozulsun dosya :) Yüksek ihtimalle
yapamayacaktır zaten denemek lazım sonuçlarına göre gerçekten resim olup
olmadığını tespit etmeye çalışırsın.

Ben olsam resmin çevresini 1 px kalınlığında png transparanla çevirirdim.
Bakalım hala içeride çalışan kod kalacakmı :) Eğer grafik işlemlerini
yapamıyorum diye hata veriyorsa ki olması gereken mantıken o, direk silersin
bu grafik deÄŸil diye.

Mesela resmin bazı özellikleri vardır. İşte kaç renk olduğu, kaç pixele kaç
pixel olduğu vs. Bu özelliklere bak sonuçta resim olmayan bir dosya bu
özelliklerin çoğunu sana gösteremeyecektir sende anlarsın bu şekilde.

Bide güvenlik senin için önemliyse veritabanında saklayarak dahada güvenli
hale getirebilirsin. Veritabanına koyacaksan performans için birkaç
optimizasyon yapman gerekebilir.

Not: Dün akşam yazmıştım maili aklın yolu bir diğer arkadaşlarda benzer
şeyler söylemişler :) Geçde olsa genede yollamak istedim.



22.02.2008 tarihinde Mesut Timur <mesut at h-labs.org> yazmış:
>
>
>
> Aklima geldi lakin bu cozumden tam emin degilim. Zira ornegin GIF icin
> GIF89a ekleyip bu atraksiyonu gecebiliyorduk diye hatirliyorum, haricinde
> tum grafik turleri headerlarini kontrol edip tum browserlarda ayni korumanin
> gecerli oldugunu test etmemiz gerekir bu cozume inanmak icin. Gerci baska
> turlu nasil kontrol yapilacak fikrim yok ve hakli olabilirsiniz aslinda ama
> belki daha iyi bir cozum olabilir.
>
> Mesut TÄ°MUR
> *http://www.h-labs.org*<http://mail2web.com/cgi-bin/redir.asp?lid=0&newsite=http://www.h-labs.org>
> H - Security Labs Güvenlik Editörü
> GYTE Bilgisayar Mühendisliği
>
>
> ------------------------------
> From: vuzun at csusb.edu
> To: mesut at h-labs.org
> CC: owasp-turkey at lists.owasp.org
> Date: Thu, 21 Feb 2008 13:51:17 -0800
> Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
>
> acaba dosyayip acip headeri okumaya calismak cozum olabilir mi
>
> ----- Original Message -----
> From: Mesut Timur <mesut at h-labs.org>
> Date: Thursday, February 21, 2008 1:41 pm
> Subject: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
> To: owasp-turkey at lists.owasp.org
>
> >
> > Merhaba;
> >
> >
> >
> > Test ettigim bir web uygulamasinda bir fotograf albumu
> > olusturulabiliyor, ve file upload isini dogru duzgun sekilde
> > yapamamislar.Anladigim kadariyla upload edilen dosyanin sadece
> > uzantisidenetleniyor, sizin de tahmin edeceginiz uzere grafik
> > dosyasinin icine
> > client-side payload'unuzu yerlestirerek guzelce (en azindan IE
> > uzerinde) XSS yapabiliyorsunuz.
> >
> >
> >
> > Simdi sorum su :  Verilen grafik dosyasinin gercekten grafik olup
> > olmadigini denetlemek icin, Asp.NET'te kullandiginiz bir library
> > ya da
> > cozum var mi?
> >
> >
> >
> > Sevgiler, saygilar , iyi calismalar!
> >
> >
> > Mesut TÄ°MUR
> > http://www.h-labs.org
> > H - Security Labs Güvenlik Editörü
> > GYTE Bilgisayar Mühendisliği
> > _________________________________________________________________
> > Helping your favorite cause is as easy as instant messaging. You
> > IM, we give.
> > http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join
> >
>
>
> ------------------------------
> Need to know the score, the latest news, or you need your Hotmail(R)-get
> your "fix". Check it out. <http://www.msnmobilefix.com/Default.aspx>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
www.ajanstasarim.com
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080222/7a55ef1c/attachment-0001.html 


More information about the Owasp-turkey mailing list