Форум PHP

?

А не нужно от него защищаться - он просто не выполнится... Ведь картинку грузит не сервер, а браузер, а браузер картинку использует для отображения, а не для выполнения скриптов...

Речь, видимо, идет о загрузке аватар, личных фотографий и прочих разрешенных изображений пользователями портала, и о возможности под их видом положить на сервер вредноносный php-код и затем выполнить его.

Крайне неприятный вид атаки.

Защита выполняется
1, ... путем защиты файлов .htaccess от перезаписи и удаления.
2, путем строгой проверки расширений загружаемых файлов.

Расширения фалов тут же не играет роли там в картинке =)

1, ... путем защиты файлов .htaccess от перезаписи и удаления. можно подробней ?

Очень даже играет: никакие скрипты не будут исполняться, если файл не имеет соотвествующего расширения.

А если include

инклуд чего? картинки?

Подробнее.
Надо не забыть в каталоге, куда кладутся изображения, создать файл .htaccess и защитить его от перезаписи путем установки прав доступа 555. Иначе, если злоумышленник сможет создать этот файл сам, он пропишет в этом файле интерпретацию GIF/JPG модулем PHP.

Полагю, речь об XSS. Насколько я знаю, защититься от этого невозможно - на стороннем сервере размещается скрипт под именем avatar.jpg и указывается в качестве аватара. Каждый, зашедший на форум, грузит эту картинку, а с ней и скрипт. Скрипт, как минимум, собирает статистику посетителей.

Каким образом? ему же кукисы не передаются.

Кроме того, портал может не дать применить внешний URL для аватара, а заставить загрузить локальный.

А нельзя ли какими нибуть выражениями просто вычислить что та код и вырезать его или запретить доступ?

То, о чем говорим мы с Киналем - это не код. Это картинка, просто она качается со стороннего сайта.

Нет это я понял,
А вдруг форум файловый, а вдруг кто нибуть закачает туда, чтонибуть не хорошое

>Кроме того, портал может не дать применить внешний URL для
>аватара, а заставить загрузить локальный.

Это-то конечно=) А статистика - ну там ip посетителей, еще чего-нибудь... Да и в любом случае грузить черт-те какой скрипт неприятно:)

//-----------------

Проверить, картинка ли это - насколько я знаю, невозможно; ну или сложно. Если даже делать контрольный запрос к этой картинке, то это можно вычислить хотя бы по юзер-агенту, или по другим характерным заголовкам. В этом случае скрипт переадресует на картинку, и все.

Если же речь о файлообменнике, то можно (и даже, наверное, нужно) проверять антивирусом, типа как на mail.ru. Правда, для этого нужен свой сервер или добрый хостер=)

Можно в тот момент, когда пользователь прописывает URL к внешнему источнику аватара, загрузить его в GDLIB и сформировать локальную копию картинки. Можно даже периодически дергать этот URL запросом HEAD на предмет обработки обновлений аватара.
Но в принципе, это не тот вопрос. Это вопрос доверия к пользователям. Не лроверяешь - не давай цеплять картинки вообще. А аватары только из списка одобренных. А одобрение - за деньги :))

>Можно в тот момент, когда пользователь прописывает URL к
>внешнему источнику аватара, загрузить его в GDLIB и
>сформировать локальную копию картинки. Можно даже
>периодически дергать этот URL запросом HEAD на предмет
>обработки обновлений аватара.

Так я и говорю - проверять. Но тогда нужно подделываться под браузер, иначе получим редирект на картинку вместо скрипта. но, опять же, на каждую хитрую гайку есть свой болт с левой резьбой=)

>Но в принципе, это не тот вопрос. Это вопрос доверия к
>пользователям.

Вот-вот! Сначала - социальная инженерия, а потом прочая=)

>>Можно в тот момент, когда пользователь прописывает URL к
>>внешнему источнику аватара, загрузить его в GDLIB и
>>сформировать локальную копию картинки. Можно даже
>>периодически дергать этот URL запросом HEAD на предмет
>>обработки обновлений аватара.
>
>Так я и говорю - проверять.
Нет, не для проверки, а чтоб сохранить локальной копией (именно копией изображения, не файла!) и затем подставлять в (img src=) на место аватара.