Persist ASP ile Dosya Gönderme Güvenlik Sorunu

Haydar42 · 05.01.2008

Arkadaşlar Mrb.
Öncelikle bir kaç yıldır ASP ile meşgul olmaya çalışan amatörlük ile profesyonellik arasında kalan bir editörüm.
Uzun zamandır sunucu taraflı dosya yükleme işlemlerinde Persist Upload tercih ediyordum. Fakat geçenlerde bir güvenlik sorunu (sandığım bi durum) ile karşılaştım.
sorun tam olarak şu şekilde ;
serverdaki dosyaları listeyen, download yapan, silen, değiştiren bir ASP dosyası hazırlamıştım.
sonra aklıma şöyle bir sorun geldi. ben bu ASP dosyamın uzantısını jpg olarak yaparsam acaba persist yükleme yapar mı? ve denemeye başladım. O da ne...! Persist afiyetle dosyayı yükledi. Sonra adres çubuğuna bu dosyanın yolunu ve dosya adını yazdım. Şöyleki
editor.ASP dosyamın uzantısını editor.jpg olarak değiştirdim.
Hazırladığım web sayfasındaki resim yükleme bölümüne girip dosyayı servera gönderdim.
Sonra
http://www.websayfam.com/yulenendosyalar/editor.jpg 'i adres çubuğuna yazdım. bir de ne göreyim editor.jpg dosyası tık demeden çalıştı. bu güvenlik sorununu acaba nasıl çözebilirim. ASP upload'ta dosyanın uzantını kontrol ettirebiliyorum. Fakat harbiden resim olup olmadığını nasıl anlayacam?
Nasıl bir çözüm yolu takip etmem gerekiyor? Herkese bol scriptli günler dilerim.

aspcibertan · 05.01.2008

Google'nin yüz tanıma api leri vardı sanırım. Belki bu işini çözebilir.

BYK · 05.01.2008

JPG dosyalarının dosyanın ilk 3-4 byte'ında bulunan dosya imzaları var. Bunun kullanabilirsin. Ayrı sunucunda dosya uzantısına göre mime type zorlaması yaptırabilirsin

Haydar42 · 05.01.2008

Sayın aspcibertan
yüz tanıma sistemi dediğin nedir? Biraz açar mısın?

aspcibertan · 05.01.2008

Gerçi yazdıktan sonra farkettim; senin çok işine yarar mı bilemiyorum ancak Google fotoğrafların erotik içerikli olanlarını vs filtrelememiz için yapılan bir sistem diyebilirim, senin nasıl kullanmak istediğine bağlı. Google bu api ile fotoğrafları tarayabiliyor.
http://code.google.com/apis/ belki işine yarar birşeyler vardır.

soul · 05.01.2008

JPS uzantili dosyayi server varsayilanda ASP olarak calistirmaz, bunun icin ozel ayar yapmis olmaniz gerekiyor, dolayisiyla onu kaldirin sorun cozulecektir.

Ikincisi Ilk 2-3 byte JPG imzasi vardir ama bu kontroller exif data bolgeleri vs. ile gecilebiliyor, dolayisiyla dogru bir cozum olmayacaktir.

3. olarak dosyalarin upload edildigi kisma IIS dan sadece okuma izni verin ve ASP dosyalarini calistirma iznini tamamen kaldirin.

05.01.2008	#1 (permalink)
Haydar42 Üyelik Tarihi: 18.04.2007 Yer: Ankara Mesaj: 4	Persist ASP ile Dosya Gönderme Güvenlik Sorunu Arkadaşlar Mrb. Öncelikle bir kaç yıldır ASP ile meşgul olmaya çalışan amatörlük ile profesyonellik arasında kalan bir editörüm. Uzun zamandır sunucu taraflı dosya yükleme işlemlerinde Persist Upload tercih ediyordum. Fakat geçenlerde bir güvenlik sorunu (sandığım bi durum) ile karşılaştım. sorun tam olarak şu şekilde ; serverdaki dosyaları listeyen, download yapan, silen, değiştiren bir ASP dosyası hazırlamıştım. sonra aklıma şöyle bir sorun geldi. ben bu ASP dosyamın uzantısını jpg olarak yaparsam acaba persist yükleme yapar mı? ve denemeye başladım. O da ne...! Persist afiyetle dosyayı yükledi. Sonra adres çubuğuna bu dosyanın yolunu ve dosya adını yazdım. Şöyleki editor.ASP dosyamın uzantısını editor.jpg olarak değiştirdim. Hazırladığım web sayfasındaki resim yükleme bölümüne girip dosyayı servera gönderdim. Sonra http://www.websayfam.com/yulenendosyalar/editor.jpg 'i adres çubuğuna yazdım. bir de ne göreyim editor.jpg dosyası tık demeden çalıştı. bu güvenlik sorununu acaba nasıl çözebilirim. ASP upload'ta dosyanın uzantını kontrol ettirebiliyorum. Fakat harbiden resim olup olmadığını nasıl anlayacam? Nasıl bir çözüm yolu takip etmem gerekiyor? Herkese bol scriptli günler dilerim.

05.01.2008	#2 (permalink)
aspcibertan Üyelik Tarihi: 14.10.2007 Yer: KOCAELİ Mesaj: 467	Re: Persist ASP ile Dosya Gönderme Güvenlik Sorunu Google'nin yüz tanıma api leri vardı sanırım. Belki bu işini çözebilir. __________________ Kişisel

05.01.2008	#3 (permalink)
BYK Üyelik Tarihi: 08.04.2003 Yer: Ankara Yaş: 20 Mesaj: 689 Görsel: 8	Re: Persist ASP ile Dosya Gönderme Güvenlik Sorunu JPG dosyalarının dosyanın ilk 3-4 byte'ında bulunan dosya imzaları var. Bunun kullanabilirsin. Ayrı sunucunda dosya uzantısına göre mime type zorlaması yaptırabilirsin __________________ Hayata gülümse! Fotoğraf Sergim - www.fototonik.com/madbyk@gmail.com/Denemeler

05.01.2008	#4 (permalink)
Haydar42 Üyelik Tarihi: 18.04.2007 Yer: Ankara Mesaj: 4	Re: Persist ASP ile Dosya Gönderme Güvenlik Sorunu Sayın aspcibertan yüz tanıma sistemi dediğin nedir? Biraz açar mısın?

05.01.2008	#5 (permalink)
aspcibertan Üyelik Tarihi: 14.10.2007 Yer: KOCAELİ Mesaj: 467	Re: Persist ASP ile Dosya Gönderme Güvenlik Sorunu Gerçi yazdıktan sonra farkettim; senin çok işine yarar mı bilemiyorum ancak Google fotoğrafların erotik içerikli olanlarını vs filtrelememiz için yapılan bir sistem diyebilirim, senin nasıl kullanmak istediğine bağlı. Google bu api ile fotoğrafları tarayabiliyor. http://code.google.com/apis/ belki işine yarar birşeyler vardır. __________________ Kişisel

05.01.2008	#6 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,279	Re: Persist ASP ile Dosya Gönderme Güvenlik Sorunu JPS uzantili dosyayi server varsayilanda ASP olarak calistirmaz, bunun icin ozel ayar yapmis olmaniz gerekiyor, dolayisiyla onu kaldirin sorun cozulecektir. Ikincisi Ilk 2-3 byte JPG imzasi vardir ama bu kontroller exif data bolgeleri vs. ile gecilebiliyor, dolayisiyla dogru bir cozum olmayacaktir. 3. olarak dosyalarin upload edildigi kisma IIS dan sadece okuma izni verin ve ASP dosyalarini calistirma iznini tamamen kaldirin. __________________ FERRUH.MAVİTUNA - İnanmıyorum, yeni site!

Sponsorlu Bağlantılar
Zoque.Forum Reklam