Не нравятся результаты поиска? Попробуйте другой поиск!
dle-faq.ru FAQ (все вопросы) Общие вопросы Анимированные картинки и уязвимости DLE

Анимированные картинки и уязвимости DLE


     23.01.2013    Общие вопросы    3140

вопрос
Патч для dle 9.7 запрещает добавлять анимированные картинки в новости, мне интересно, а если движок 9.6 - анимацию добавлять можно, значит уязвимость остаётся?
И вообще кто-нибудь в курсе проблема с анимацией будет решена? Webdiscover.ru сделан на dle и работает без проблем, гифки можно добавлять

Ответа пока нет


Комментарии пользователей (13)

Dymatize
6

111 | 104

Dymatize - 24 января 2013 00:52 - Юзер.

У меня в 9.2 патч этот уже был установлен... Видать его в новых версиях его уже не было. Теперь решили вернуть.

region029
9 | 7

region029 - 24 января 2013 08:23 - Юзер

У меня получилось анимированный аватар залить на этот сайт. Пафнутий не поставил патч или нашёл какое-то другое решение?

ПафНутиЙ
1065

3396 | 2434

ПафНутиЙ - 24 января 2013 10:05 - Админ

Если мне кто-то скажет как происходит взлом сайта через анимированный аватар - буду вносить необходимые правки.

Каков вопрос - таков и ответ. Просто помните об этом.

nowheremany
192

1659 | 1292

nowheremany - 24 января 2013 11:12 - Эксперт

все это бред.
просто у gif картинки изменять размер накладно для сервера, вот и придумал объяснение.

Благодарность принимаю тут Связь

Бахмут
5

76 | 31

Бахмут - 24 января 2013 14:17 - Юзер

За длешку не знаю, а вот мой форум IPB Board ломали подобным образом. Был залит аватар с названием 128.gif. Сама картинка не воспроизводилась, потому как правильное ее название должно быть - 128.php, а гифку использовали только для того, что б залить на сервер код php, просто переименованный. Этим аватаром (вернее php-кодом) каким-то образом по серверу раскидались всякие "нехорошие" скрипты и тд. В общем, вышло исправление форума, заменил пару файликов и устранил уязвимость. Аватары-анимашки остались и нормально работают, исправление не дает теперь залить вместо аватара подобную хрень. Видимо, что-то действительно есть, только на офсайте дле не захотели париться с этой проблемой и решать ее, как сделали на IPB Board, а просто удалили функцию загрузки анимированных гифок.
Как мне кажется, с выходом очередной версии длешки, 9.9 или 10 (хз какая там будет), эту функцию исправят, удалят уязвимость и вернут. Видимо сейчас, перед выходом новой версии, которая уже находится в тестировании и предрелизной подготовке, просто не захотели париться.

Kickman
6 | 8

Kickman - 24 января 2013 18:54 - Юзер


region029
9 | 7

region029 - 24 января 2013 20:08 - Юзер

Цитата: nowheremany
все это бред....вот и придумал объяснение.

Я вас не понял, что бред?

shadow6630
6

131 | 55

shadow6630 - 24 января 2013 20:36 - Юзер

Обсуждалось на провеббере: бот регался на сайте и используя гифку подсовывал через нее вредносный код, а дальше дело техники, в общем проверяйте есть ли у вас пользователь с ником tehapocalypse )

hatchees
65 | 74

hatchees - 24 января 2013 21:48 - Юзер

Лол, а что нельзя проверить картинка ли это или нет? напримере функция getimagessize



list($width, $height) = getimagesize($image);

if (empty($width) or empty($height) {
echo "это не картинка";
unset($image);
}

hatchees
65 | 74

hatchees - 24 января 2013 21:53 - Юзер

*забыл скобку заркыть
if (empty($width) or empty($height)) {

nowheremany
192

1659 | 1292

nowheremany - 25 января 2013 09:33 - Эксперт

Я бы посоветовал выложить такую картинку с php кодом, для анализа. Толку то защищать от того чего не видишь.

PS Да и вообще с какого перепуга настроено выполнение gif файлов как php сущности? это недонастройка сайта

Благодарность принимаю тут Связь

kricha
4

60 | 12

kricha - 26 марта 2014 01:27 - Юзер

это неправильная настройка сервера.

DrajE
44 | 31

DrajE - 11 февраля 2013 17:15 - Юзер

Пострадало у меня от это херни 2 сайта.
Вовремя не сделанный дамп добавил много гемороя.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы