Анимированные картинки и уязвимости DLE

region029 23.01.2013 анимация, запрет, патч, dle 9.6, уязвимости Все вопросы » Общие вопросы 5045

вопрос

Патч для dle 9.7 запрещает добавлять анимированные картинки в новости, мне интересно, а если движок 9.6 - анимацию добавлять можно, значит уязвимость остаётся?
И вообще кто-нибудь в курсе проблема с анимацией будет решена? Webdiscover.ru сделан на dle и работает без проблем, гифки можно добавлять

Ответа пока нет

12 комментариев

Юзер

region029 - 2015-02-0524 января 2013 08:23 - #11036

У меня получилось анимированный аватар залить на этот сайт. Пафнутий не поставил патч или нашёл какое-то другое решение?

Админ

3457

ПафНутиЙ - 2015-02-0524 января 2013 10:05 - #11044

Если мне кто-то скажет как происходит взлом сайта через анимированный аватар - буду вносить необходимые правки.

Каков вопрос - таков и ответ. Просто помните об этом.

Эксперт

1925

nowheremany - 2015-02-0524 января 2013 11:12 - #11045

все это бред.
просто у gif картинки изменять размер накладно для сервера, вот и придумал объяснение.

Благодарность принимаю тут Связь

Юзер

Бахмут - 2015-02-0524 января 2013 14:17 - #11055

За длешку не знаю, а вот мой форум IPB Board ломали подобным образом. Был залит аватар с названием 128.gif. Сама картинка не воспроизводилась, потому как правильное ее название должно быть - 128.php, а гифку использовали только для того, что б залить на сервер код php, просто переименованный. Этим аватаром (вернее php-кодом) каким-то образом по серверу раскидались всякие "нехорошие" скрипты и тд. В общем, вышло исправление форума, заменил пару файликов и устранил уязвимость. Аватары-анимашки остались и нормально работают, исправление не дает теперь залить вместо аватара подобную хрень. Видимо, что-то действительно есть, только на офсайте дле не захотели париться с этой проблемой и решать ее, как сделали на IPB Board, а просто удалили функцию загрузки анимированных гифок.
Как мне кажется, с выходом очередной версии длешки, 9.9 или 10 (хз какая там будет), эту функцию исправят, удалят уязвимость и вернут. Видимо сейчас, перед выходом новой версии, которая уже находится в тестировании и предрелизной подготовке, просто не захотели париться.

Юзер

Kickman - 2015-02-0524 января 2013 18:54 - #11069

На серче, по этому поводу...

Юзер

region029 - 2015-02-0524 января 2013 20:08 - #11071

Цитата: nowheremany

все это бред....вот и придумал объяснение.

Я вас не понял, что бред?

Юзер

151

shadow6630 - 2015-02-0524 января 2013 20:36 - #11073

Обсуждалось на провеббере: бот регался на сайте и используя гифку подсовывал через нее вредносный код, а дальше дело техники, в общем проверяйте есть ли у вас пользователь с ником tehapocalypse )

Юзер

hatchees - 2015-02-0524 января 2013 21:48 - #11075

Лол, а что нельзя проверить картинка ли это или нет? напримере функция getimagessize



list($width, $height) = getimagesize($image);

if (empty($width) or empty($height) {
echo "это не картинка";
unset($image);
}

Юзер

hatchees - 2015-02-0524 января 2013 21:53 - #11076

*забыл скобку заркыть

if (empty($width) or empty($height)) {

Эксперт

1925

nowheremany - 2015-02-0525 января 2013 09:33 - #11084

Я бы посоветовал выложить такую картинку с php кодом, для анализа. Толку то защищать от того чего не видишь.

PS Да и вообще с какого перепуга настроено выполнение gif файлов как php сущности? это недонастройка сайта

Благодарность принимаю тут Связь

Юзер

kricha - 2015-02-0526 марта 2014 01:27 - #25649

это неправильная настройка сервера.