Que problemas de seguridad puedo tener al dejar subir imagenes

johhan16 · #1 (**permalink**) 12/07/2010, 06:45

tengo el siguiente codigo el cual uso para subir imagenes, especificamente fotos de alumnos, que puedan subir ellos mismos, le coloque el criterio que solo puedan subir archivo de extension .jpg y un tamaño maximo de 100 kb.

pero viendo el codigo me pregunte si una persona mal intencionada viene y agarra algun virus, exploit o cualquier otro y le coloca de extension .jpg, podria tener problemas, ya que dejaria subir el archivo igual y podria ejecutarse de alguna manera dentro del servidor.

si alguien tiene alguna idea para darle mañor seguridad le agradezco la respuesta

Código PHP:

  <?

session_start();

 
$cedula= $_SESSION["cedula"];

 
//datos del arhivo

$nombre_archivo = $HTTP_POST_FILES['userfile']['name'];

$tipo_archivo = $HTTP_POST_FILES['userfile']['type'];

$tamano_archivo = $HTTP_POST_FILES['userfile']['size'];

//compruebo si las características del archivo son las que deseo

if (!((strpos($tipo_archivo, "jpeg")) && ($tamano_archivo < 100000))) {

 
    if($_SESSION["autorizacion"]=="si")

 
{

           

            

             ?>

             

         <script type='text/javascript' language='javascript'>

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo') 

         document.location.href='alumnos/infoalum.php'    

         </script> 

         

         <?

         }

         else

         {

         ?>

          

          <script type='text/javascript' language='javascript'>

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo') 

         document.location.href='profesor/infoprofe.php'    

         </script> 

          <? 

          }

    

    

}else{

    if (move_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'], "fotos/".$nombre_archivo) && rename("fotos/".$nombre_archivo,"fotos/".$cedula.".jpg")){

            

    if($_SESSION["autorizacion"]=="si")

 
{

           

            

             ?>

             

         <script type='text/javascript' language='javascript'>

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA') 

         document.location.href='alumnos/infoalum.php'    

         </script> 

         

         <?

         }

         else

         {

         ?>

          

          <script type='text/javascript' language='javascript'>

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA') 

         document.location.href='profesor/infoprofe.php'    

         </script> 

          <? 

          }

    }else{

       echo "Ocurrió algún error al subir el fichero. No pudo guardarse.";

    }

}

?>

urgido · #2 (**permalink**) 12/07/2010, 07:51

lo mejor es que uses cabeceras mime types para validar el archivo y de esta forma cersiorarte que no sea un .exe renombrado en .jpg.

Saludos

johhan16 · #3 (**permalink**) 12/07/2010, 11:06

y me podrias decir como usarlas, ya que es primera vez que escucho hablar de esas cabeceras

rpv · #4 (**permalink**) 12/07/2010, 11:25

Dos puntos:

1. $HTTP_POST_FILES está obsoleta, ahora se usa $_FILES.
2. Lo que te comentan anteriormente lo puedes ver con $_FILES['userfile']['type'], el tipo de las imágenes JPG es image/jpg o image/jpeg.

Respecto a la seguridad, hay un bug explotable si haces includes tomando variables desde la url, si haces cosas como dominio.com/ver.php?seccion=portada.php donde tu código es:

include($_GET['seccion']);

se puede inyectar código PHP en la descripción de las imágenes (dentro de la imagen) para que se explote de la forma:

dominio.com/ver.php?seccion=el/path/a/la/imagen/subida.jpg

para que cargue la imagen como si fuera archivo PHP y por consiguiente explotando el código.

johhan16 · #5 (**permalink**) 12/07/2010, 11:45

ok con respecto a lo primero que dices solo debo cambiar el $HTTP_POST_FILES por $_FILES

con respecto a lo segundo ya yo tengo como tu me dices pero con $HTTP_POST_FILES, que lo cambiare a $_FILES

y con respecto al GET, yo estoy utilizando session

entoces con respecto al primero y el segundo el codigo quedaria asi?

Código PHP:

  <? 

session_start(); 

 
$cedula= $_SESSION["cedula"]; 

 
//datos del arhivo 

$nombre_archivo = $_FILES['userfile']['name']; 

$tipo_archivo = $_FILES['userfile']['type']; 

$tamano_archivo = $_FILES['userfile']['size']; 

//compruebo si las características del archivo son las que deseo 

if (!((strpos($tipo_archivo, "jpeg")) && ($tamano_archivo < 100000))) { 

 
    if($_SESSION["autorizacion"]=="si") 

 
{ 

            

             

             ?> 

              

         <script type='text/javascript' language='javascript'> 

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo')  

         document.location.href='alumnos/infoalum.php'     

         </script>  

          

         <? 

         } 

         else 

         { 

         ?> 

           

          <script type='text/javascript' language='javascript'> 

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo')  

         document.location.href='profesor/infoprofe.php'     

         </script>  

          <?  

          } 

     

     

}else{ 

    if (move_uploaded_file($_FILES['userfile']['tmp_name'], "fotos/".$nombre_archivo) && rename("fotos/".$nombre_archivo,"fotos/".$cedula.".jpg")){ 

             

    if($_SESSION["autorizacion"]=="si") 

 
{ 

            

             

             ?> 

              

         <script type='text/javascript' language='javascript'> 

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA')  

         document.location.href='alumnos/infoalum.php'     

         </script>  

          

         <? 

         } 

         else 

         { 

         ?> 

           

          <script type='text/javascript' language='javascript'> 

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA')  

         document.location.href='profesor/infoprofe.php'     

         </script>  

          <?  

          } 

    }else{ 

       echo "Ocurrió algún error al subir el fichero. No pudo guardarse."; 

    } 

} 

?>

rpv · #6 (**permalink**) 12/07/2010, 11:55

Sí, solo es cambiar una variable por la otra, respecto al uso de strpos:

Código PHP:

Ver originalif ((strpos($tipo_archivo,'image/jpeg')!==false||strpos($tipo_archivo,'image/jpg')!==false)&&$tamano_archivo<100000)

debes tomar en cuenta los dos tipos, no se si sea cosa del navegador o del software con el que se guarda las imágenes, pero se puede enviar con cualquiera de esos dos mime types.

Respecto a la seguridad: solo es explotable si haces las inclusiones desde variables de la url como en el ejemplo.

johhan16 · #7 (**permalink**) 12/07/2010, 13:25

sustituyendo la parte del codigo por la que me dices me muestra un error

Parse error: syntax error, unexpected ')' in /home/xxxxx/xxxxxx.com/xxxxxxx/htdocs/subearchi.php on line 12

rpv · #8 (**permalink**) 12/07/2010, 13:28

es por las llaves al final:

Código PHP:

Ver originalif((strpos($tipo_archivo,'image/jpeg')!==false||strpos($tipo_archivo,'image/jpg')!==false)&&$tamano_archivo<100000){

johhan16 · #9 (**permalink**) 12/07/2010, 13:42

ahora me sale el mensaje de error que yo coloco mas adelante

<script type='text/javascript' language='javascript'>
alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo')
document.location.href='alumnos/infoalum.php'
</script>

y estoy subiendo un archivo tipo .jpeg y pesa 65 KB

rpv · #10 (**permalink**) 12/07/2010, 14:12

es un error lógico amigo, tienes el código en el segmento equivocado del if, lo tienes:

if(requerimientos_de_archivo_cumplidos){
muestra_mensajes_de_error
}else{
sube_la_imagen
}

cuando debe ser:

if(requerimientos_de_archivo_cumplidos){
sube_la_imagen
}else{
muestra_mensajes_de_error
}

johhan16 · #11 (**permalink**) 12/07/2010, 14:42

es extraño el problema porque si lo coloco asi

Código PHP:

<? if ((strpos($tipo_archivo,'image/jpeg')!==false)&&$tamano_archivo<100000) ?>

no me funciona, pero si le quito el ! que esta al lado de ==false osea asi

Código PHP:

<? if ((strpos($tipo_archivo,'image/jpeg')==false)&&$tamano_archivo<100000) ?>

me funciona bien, yo se que alli le estoy diciendo que si no es Jpeg me la acepte, pero de la otra forma no funciona y estoy probando es con las imagenes de muestra que trae el windows xp, la de la puesta de sol

rpv · #12 (**permalink**) 12/07/2010, 15:16

con esta función se debe usar este tipo de operador ya que el formato retornado por esta función es un tanto `especial`, checa la documentación oficial:

Cita:

This function may return Boolean FALSE, but may also return a non-Boolean value which evaluates to FALSE, such as 0 or "". Please read the section on Booleans for more information. Use the === operator for testing the return value of this function.

como te digo, es un error de lógica, deberías cambiarlo de la forma que te indico:

if(requerimientos_de_archivo_cumplidos){
muestra_mensajes_de_error
}else{
sube_la_imagen
}

cuando debe ser:

if(requerimientos_de_archivo_cumplidos){
sube_la_imagen
}else{
muestra_mensajes_de_error
}

o bien cambiar la condición:

Código PHP:

Ver originalif(strpos($tipo_archivo,'image/jpeg')===false&&$tamano_archivo>100000){

de esta forma la lógica quedaría:

if(requerimientos_de_archivo_NO_cumplidos){
muestra_mensajes_de_error
}else{
sube_la_imagen
}

johhan16 · #13 (**permalink**) 12/07/2010, 18:11

bueno tal parece que ahora si funciona sin problemas

aqui dejo el codigo por si alguien lo necesita, Muchas Gracias por la ayuda

Código PHP:

  <?       session_start();  

 
         $cedula= $_SESSION["cedula"];  

 
         //datos del arhivo  

         $nombre_archivo = $_FILES['userfile']['name'];  

         $tipo_archivo = $_FILES['userfile']['type'];  

         $tamano_archivo = $_FILES['userfile']['size'];  

         //compruebo si las características del archivo son las que deseo  

if ((strpos($tipo_archivo,'image/jpeg')!==false)&&$tamano_archivo<100000) 

{  

if (move_uploaded_file($_FILES['userfile']['tmp_name'], "fotos/".$nombre_archivo) && rename("fotos/".$nombre_archivo,"fotos/".$cedula.".jpg"))

{  

            if($_SESSION["autorizacion"]=="si")  

{  

?>  

         <script type='text/javascript' language='javascript'>  

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA')   

         document.location.href='alumnos/infoalum.php'      

         </script>   

<?  

}  

else  

{  

?>  

          <script type='text/javascript' language='javascript'>  

         alert('SU IMAGEN FUE SUBIDA DE FORMA EXITOSA')   

         document.location.href='profesor/infoprofe.php'      

         </script>  

<?   

}       

} else    {  

echo "Ocurrió algún error al subir el fichero. No pudo guardarse.";  

} }    else {  

                        if($_SESSION["autorizacion"]=="si")  

 
{

?> 

         <script type='text/javascript' language='javascript'>  

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo')   

         document.location.href='alumnos/infoalum.php'      

         </script>   

<?  

} else  {  

?>  

         <script type='text/javascript' language='javascript'>  

         alert('LA EXTENSI'+"\u00d3"+'N O EL TAMA'+"\u00d1"+'O DE LOS ARCHIVOS NO ES CORRECTA \n-se permiten archivos .jpg \n-se permiten archivos de 100 kb m'+"\u00e1"+'ximo')   

         document.location.href='profesor/infoprofe.php'      

         </script>  

<? } } ?>

chalchis · #14 (**permalink**) 12/07/2010, 21:57

como nota recuerda siempre usar un llave encriptada en los formularios
para enviar

johhan16 · #15 (**permalink**) 12/07/2010, 22:20

llave encriptada en los formularios?

me podrias explicar?

chalchis · #16 (**permalink**) 12/07/2010, 22:25

puedes leer este post es muy bueno

http://net.tutsplus.com/tutorials/ph...ith-form-keys/

saludos

johhan16 · #17 (**permalink**) 12/07/2010, 22:38

ya lo lei un poco y se ve algo engorroso por lo menos alli en esa pagina que me diste de ejemplo

chalchis · #18 (**permalink**) 12/07/2010, 22:42

tomalo como una consideración...

saludos.