Grafiğin üzerine ufak bir yazı yazdır bozulsun dosya :) Yüksek ihtimalle yapamayacaktır zaten denemek lazım sonuçlarına göre gerçekten resim olup olmadığını tespit etmeye çalışırsın. <br><br>Ben olsam resmin çevresini 1 px kalınlığında png transparanla çevirirdim. Bakalım hala içeride çalışan kod kalacakmı :) Eğer grafik işlemlerini yapamıyorum diye hata veriyorsa ki olması gereken mantıken o, direk silersin bu grafik değil diye.<br>

<br>Mesela resmin bazı özellikleri vardır. İşte kaç renk olduğu, kaç pixele kaç pixel olduğu vs. Bu özelliklere bak sonuçta resim olmayan bir dosya bu özelliklerin çoğunu sana gösteremeyecektir sende anlarsın bu şekilde.<br>

<br>Bide güvenlik senin için önemliyse veritabanında saklayarak dahada güvenli hale getirebilirsin. Veritabanına koyacaksan performans için birkaç optimizasyon yapman gerekebilir.<br><br>Not: Dün akşam yazmıştım maili aklın yolu bir diğer arkadaşlarda benzer şeyler söylemişler :) Geçde olsa genede yollamak istedim.<br>
<br><br><br><div><span class="gmail_quote">22.02.2008 tarihinde <b class="gmail_sendername">Mesut Timur</b> &lt;<a href="mailto:mesut@h-labs.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">mesut@h-labs.org</a>&gt; yazmış:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">





<div>
<br><br>Aklima geldi lakin bu cozumden tam emin degilim. Zira ornegin GIF
icin GIF89a ekleyip bu atraksiyonu gecebiliyorduk diye hatirliyorum,
haricinde tum grafik turleri headerlarini kontrol edip tum browserlarda
ayni korumanin gecerli oldugunu test etmemiz gerekir bu cozume inanmak
icin. Gerci baska turlu nasil kontrol yapilacak fikrim yok ve hakli
olabilirsiniz aslinda ama belki daha iyi bir cozum olabilir.<span><br><br><div></div><font color="#0033ff">Mesut TİMUR <br><a href="http://mail2web.com/cgi-bin/redir.asp?lid=0&amp;newsite=http://www.h-labs.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><u><font color="#0000ff">http://www.h-labs.org</font></u></a> <br>

H - Security Labs Güvenlik Editörü <br>GYTE Bilgisayar Mühendisliği</font><br><br><br></span><blockquote><hr>From: <a href="mailto:vuzun@csusb.edu" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">vuzun@csusb.edu</a><br>

To: <a href="mailto:mesut@h-labs.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">mesut@h-labs.org</a><br>CC: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">owasp-turkey@lists.owasp.org</a><br>

Date: Thu, 21 Feb 2008 13:51:17 -0800<br>Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu<div><span><br><br>
acaba dosyayip acip headeri okumaya calismak cozum olabilir mi<br><br>----- Original Message ----- <br>From: Mesut Timur &lt;<a href="mailto:mesut@h-labs.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">mesut@h-labs.org</a>&gt; <br>

Date: Thursday, February 21, 2008 1:41 pm <br>Subject: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu <br>To: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">owasp-turkey@lists.owasp.org</a> <br>

<br>&gt; <br>&gt; Merhaba; <br>&gt; <br>&gt; <br>&gt; <br>&gt; Test ettigim bir web uygulamasinda bir fotograf albumu <br>&gt; olusturulabiliyor, ve file upload isini dogru duzgun sekilde <br>&gt; yapamamislar.Anladigim kadariyla upload edilen dosyanin sadece <br>

&gt; uzantisidenetleniyor, sizin de tahmin edeceginiz uzere grafik <br>&gt; dosyasinin icine <br>&gt; client-side payload&#39;unuzu yerlestirerek guzelce (en azindan IE <br>&gt; uzerinde) XSS yapabiliyorsunuz. <br>&gt; <br>

&gt; <br>&gt; <br>&gt; Simdi sorum su :&nbsp; Verilen grafik dosyasinin gercekten grafik olup <br>&gt; olmadigini denetlemek icin, Asp.NET&#39;te kullandiginiz bir library <br>&gt; ya da <br>
&gt; cozum var mi? <br>&gt; <br>&gt; <br>&gt; <br>&gt; Sevgiler, saygilar , iyi calismalar! <br>&gt; <br>&gt; <br>&gt; Mesut TİMUR <br>&gt; <a href="http://www.h-labs.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.h-labs.org</a> <br>

&gt; H - Security Labs Güvenlik Editörü <br>&gt; GYTE Bilgisayar Mühendisliği <br>&gt; _________________________________________________________________ <br>&gt; Helping your favorite cause is as easy as instant messaging.&nbsp;You <br>

&gt; IM, we give. <br>&gt; <a href="http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join</a> <br>

&gt; 
</span></div></blockquote><br><hr>Need to know the score, the latest news, or you need your Hotmail&reg;-get your &quot;fix&quot;. <a href="http://www.msnmobilefix.com/Default.aspx" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Check it out.</a></div>


<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><a href="http://www.ajanstasarim.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">www.ajanstasarim.com</a>