01/03/2009, 02:30
| ||||
| ||||
| Me pueden subir archvos desde otro upload a mi web Hola. Tengo una pagina web donde me suben fotos mediante un upload.php file. Mi pregunta es, alguien puede hacer un upload.php file, subirlo en su servidor, en su pagina web y asi subir archivos en mi pagina web. Porque si puede, asi me podria subir archivos php. Si eso es posible, como me puedo protejer? |
|
01/03/2009, 04:23
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Creo que estas dando palos de ciego... a ver... Cualquier persona puede hacer un upload.php file y subirlo a su servidor porque sabe un usuario ftp para hacerlo. Pero para que lo suban al tuyo, deben conocer un usuario ftp tuyo, no pueden subir cosas a tu servidor a menos que tu les dejes. Otra cosa sería si tu has hecho un upload.php y lo has subido a tu servidor y no has restringido archivos php, pues eso es una falta de seguridad tremenda |
|
01/03/2009, 09:05
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web No me has entendido bien. Yo si que es restringido archivos php en mi upload.php, pero preguntaba si alguien puede crear un archivo upload.php subirlo a su servidor, no al mio, y desde su servidor apuntar mi carpeta de imagens y asi subirme cosas mediante su upload.php Es eso posible? |
|
01/03/2009, 09:23
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Lo malo que veo yo es que si tiene la página en un hosting, lo mas probable es que su usuario sea igual o muy parecido a su dominio, ya que en general las empresas de hosting al contratarlas hacen eso. Por ejemplo si las contratas y te pones de dominio lechuga.com , ellos te ponen de usuario "lechuga". Yo tengo mi página en un hosting también pero cambié mi usuario hace mucho XD. La otra sería que te fijes en los permisos de la carpeta también. |
|
01/03/2009, 10:55
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Creo que si, igual los dejaría en 7 4 4, por que en en 7 5 5 los usuarios de todos lados podrian poner la url a la carpeta de tus imagenes en su explorador y podrian ver la lista de imagenes, lo cual puede darles algo mas de información ( además de que queda feo jaja). A ver si esto ayuda un poco con los permisos:
Código:
El intento de cuadro anterior es 7 7 7 (la "v" siginificaria que esta tildado, o activado)USUARIO GRUPO MUNDO LEER v v v ESCRIBIR v v v EJECUTAR v v v 7 5 5 sería:
Código:
(la "x" sería destildado o desactivado).USUARIO GRUPO MUNDO LEER v v v ESCRIBIR v x x EJECUTAR v v v Desactivas el ejecutar ( tomando el cuadro anterior) y es 7 4 4 , en caso que no utilices un cpanel o algo así ya sabes es al reves jaja. |
|
01/03/2009, 11:02
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web perdon, se me olvidaba, si pones 7 4 4 en un sitio de galería de imagenes o algo asi no te conviene dejarlo 7 4 4 ya que los demás no podrían ver las imagenes( si es que le pusiste esos permisos a la carpeta contenedora de imagenes, en caso que guardes las imagenes en una db no hay problema XD). |
|
01/03/2009, 12:32
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Aunque suban archivos a tu web desde su upload, recuerda que el proceso se hace en el tuyo, así que mientras protejas bien como haces el proceso del upload, el tipo de archivo y todo, no hay problema. Saludos  |
|
03/03/2009, 13:00
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Cita: Hola GatorV
Iniciado por GatorV  Aunque suban archivos a tu web desde su upload, recuerda que el proceso se hace en el tuyo, así que mientras protejas bien como haces el proceso del upload, el tipo de archivo y todo, no hay problema. Saludos Lo que pasa es que tengo un upload.php que no permite subir archivos php, pero me han subido 2. Yo intenté y no pude. El sistema no me deja. Pero ello, no se quien ha sido, ha pudido, poreso pensaba yo que me los han subido mediante otro upload.php que esta en su servidor, pero que apunta mi carpeta. Tengo los permisos de la carpeta en la que subo en 755. Como crees que han subido los archivos php. Por que no se abre un foro de hackers y protegernos de hackers, creo que será muy interesante. Hay mucho que escribir alli. |
|
03/03/2009, 15:34
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web No es posible hacer eso a menos desde tu código, seguramente si estas usando algún otro programa encontraron alguna vulnerabilidad, pero dudo que si tu estas validando ya el código a la hora de hacer el upload lo puedan lograr. Todo sería cuestión de ver el código que usas, para subir archivos lo más recomendable es subirlos a una carpeta que este fuera del web root, así evitas que si suben algo lo puedan ejecutar. Saludos |
|
03/03/2009, 15:51
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Hi Compañero¡ Existen Muchas Posibilidades ¡ Si El Servidor Tiene el Metodo "PUT" enabled, pueden subir archivos a tu servidor. Si Robaron el Upload.php de tu Servidor, y este Tiene Alguna Password de FTP u algo, Creo que Estas Bien Jodido porque de Seguro Entraran via FTP. Si Tu isiste el Upload Via php, Por Metodo POST ,"multipart", y todo el enrollo, entonces, tienes que tener mucho cuidado en el filtro que ocupar para Subir Archivos, porque Cualquier Pueda hacer un Bypass por Extension. u Ocupar nullbytes "%00". Tambien Y algo que Pocos se dan el Trabajo es hacer un REverse DnS, para ver quien mas esta alojado en la WEB, y si tiene Safe Mode Activado, porque Si Logran Ingresar A 1 Web y este Tiene Safe Mode OFF, pueden Llegar a tu Carpeta y Joderte. Ahy Muchas Posibilidades, Lo Mejor es Tener Cuidado en Todos los Detalles. Saludos¡ |
|
03/03/2009, 15:58
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Hola, yo opino que si pueden subir cualquier tipo de arhivo, alguien podria subirte un script malicioso en php mismamente que realizara modificaciones en tus páginas. y si encuentran tu directorio donde los guardas solo les queda ejecutarlo. ""hRRp://miweb.com/contenedor/archivosquesuben/malicioso.php""" |
|
04/03/2009, 13:41
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web He puesto este codigo en la carpeta donde me suben lsa fotos: # secure htaccess file <Files .htaccess> order allow,deny deny from all </Files> AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .html .exe .js .bat .jse .lnk .pif .scr .vb .vbs .xls .dll .doc .docx .txt .bas .cmd .msi .msp Options -ExecCGI Ahora no pueden ejecutar php aunque lo suban, creeis que eso es suficiente? |
|
19/03/2009, 07:29
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web En esta situación el tipo de archivo es lo de menos, el asunto más grave es que estén subiendo archivos a tu servidor desde otro. Eso es muy sencillo, si vos tenés un form con un file y lo recibís en un archivo PHP y no realizás ningún tipo de chequeo de seguridad, entonces subir archivos a tu servidor desde cualquier lado no requiere de nada más que saber la URL a donde mandar el POST de otro formulario. Me explico: si yo veo que tu form postea a sarasa.php, entonces para hacer una prueba sencilla solo basta hacer un script cualquiera con algo así... <form action="http://www.dominio.com/sarasa.php" method="post"> y listo, pensá que los forms pueden ser cross-server, asique envía el post desde un servidor al otro, y si en tu server no hay ningún tipo de chequeo de cual es el origen del post, entonces lo va a procesar como si se hubiera generado de forma local, en el propio servidor
__________________ Just because I rock doesn't mean I'm stone |
|
22/03/2009, 04:21
| ||||
| ||||
| Respuesta: Me pueden subir archvos desde otro upload a mi web Cita: Hola Solid. Me puedes decir como prevenir esto entonces? Es que ya me ha pasado y no quiero que vuelva a pasarme. Ma han subido archivos php a mi servidor aunque yo validaba lo que me subian que es imposible subir archivos php.
Iniciado por Solid En esta situación el tipo de archivo es lo de menos, el asunto más grave es que estén subiendo archivos a tu servidor desde otro. Eso es muy sencillo, si vos tenés un form con un file y lo recibís en un archivo PHP y no realizás ningún tipo de chequeo de seguridad, entonces subir archivos a tu servidor desde cualquier lado no requiere de nada más que saber la URL a donde mandar el POST de otro formulario. Me explico: si yo veo que tu form postea a sarasa.php, entonces para hacer una prueba sencilla solo basta hacer un script cualquiera con algo así... <form action="http://www.dominio.com/sarasa.php" method="post"> y listo, pensá que los forms pueden ser cross-server, asique envía el post desde un servidor al otro, y si en tu server no hay ningún tipo de chequeo de cual es el origen del post, entonces lo va a procesar como si se hubiera generado de forma local, en el propio servidor |
|
22/03/2009, 05:23
| |||
| |||
| Respuesta: Me pueden subir archvos desde otro upload a mi web miros84 creo que tu problema está en como validas el tipo de archivo que se sube... Seguramente compruebes así: Código PHP: Ahí compruebas el MIME del archivo y es lo que te envia el navegador del usuario, por lo que el usuario puede modificar su navegador para que por ejemplo los archivos .php tengan el MIME type image/jpeg por lo que se subiría a tu web y luego podría ejecutarlo... Lo más seguro es que uses como comprobación del tipo de archivo la extensión, porque sabes que un archivo .jpg nunca será ejecutado en su servidor (a no ser que esté mal configurado). Un saludo ;) |
