Основные блоги b.Z » Все блоги » Про интернет » Опасный getimagesize() или Zip Bomb для PHP

Опасный getimagesize() или Zip Bomb для PHP

Все блоги / Про интернет 28 мая 2014 463   
Смотреть в Telegram Поделиться в TG
Рекурсия

В Питер снова пришла осень, и рабочее настроение, которое подвергалось постоянной атаке солнечной радиации вот уже целую неделю, решило, что с него хватит, и улетело в ещё не задраенную форточку.

«Отлично, — подумал я, — самое время поковырять какой-нибудь движок, пока оно не вернулось!»

Сказано — сделано. Под катом предлагаю небольшой обзор уязвимости в распространённом движке фото-галереи на PHP и о том, как можно положить любой сайт, использующий getimagesize(), с помощью бородатой zip-бомбы (или пета-бомбы).
А что там дальше, за рамкой-то?

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

[Перевод] Защищаем сайт с помощью ZIP-бомб

Старые методы по-прежнему работают [Обновление] Теперь я в каком-то списке спецслужб, потому что написал статью про некий вид «бомбы», так? Если вы когда-нибудь хостили веб-сайт или администрировали сервер, то наверняка хорошо знаете о плохих людях, которые пытаются сделать разные плохие вещи с

подробнее »
6 июля 2017
Можно ли искоренить фишинговые сайты?

Можно сразу ответить «нет» и пройти мимо поста. А можно зайти под кат и поразмышлять. Давайте отбросим российские реалии (или реалии любой страны) и попробуем сообща найти рабочее решение. Мне вот кажется, что оно есть. Тезисы под катом. Читать дальше →

подробнее »
21 мая 2020
Не открывайте порты в мир — вас поломают (риски)

Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка конфигурации DDoS

подробнее »
4 апреля 2019
Защитить удаленку (и не только) с помощью Netflow

DDoS-атаке может подвергнуться любой ресурс. Чаще всего атаки носят целенаправленный характер — злоумышленники могут пытаться положить сайт с какой-то информацией (разного рода СМИ и сайты с ТВ-трансляции сталкивались с подобным, и не раз). Предприятия торговли и банки тоже страдают от этого, для

подробнее »
21 сентября 2020
[Перевод] Более 162.000 сайтов на WordPress использовались для масштабной DDOS-атаки

Сегодня я вам хочу рассказать о крупной DDOS-атаке, усиленной с помощью тысяч отдельных сайтов на движке WordPress. Любой WordPress сайт с включенным Pingback (который, между прочим, включен по умолчанию), может использоваться в DDOS-атаке на другие сайты [В конце статьи ссылка на онлайн-сервис для

подробнее »
12 марта 2014
Автомобильная безопасность: какие уроки мы можем вынести из отзыва машин?

Cтатью про автомобильную безопасность я решил написать после новости о том, что серия автомобилей Chrysler была отозвана из-за уязвимости в программном обеспечении. По разным причинам она пылилась в полусыром состоянии еще с лета, и вот наконец-то я нашел время между поездками ее дописать и

подробнее »
27 ноября 2015
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии