Какая в данном случае присутствует брешь в безопасности в скрипте загрузки картинки?

Question

[nelolka]

Есть скрипт загрузки аватара на сайт. Вот строка, выполняющая основную работу:

move_uploaded_file($_FILES['avatar']['tmp_name'], $uploaddir."$username.jpg"

где $username — имя пользователя. Для пользователя user — файл user.jpg.
Система довольно глупая и дырявая. Почитав статью на хабре, я пытался залить php-скрипт, регистрируясь под разными логинами, но не получилось.
Как все-таки это сделать? Как залить php на сервер под видом аватара?
Максимальная длина логина — 8 символов. Дополнительные проверки отсутствуют.

Answer 1

[Юрий]

username
/../../../images/site-logo

путь придуманный - уязвимость - заменить любой jpg файл на сервере, если в имени юзера не запрещены символы слеша

Comments

[Юрий]

+ также можно заменить аватару любого другого юзера
если логин будет /../avatars/putin
заменит аватару пользователя putin

Answer 2

[Александр Аксентьев]

Например логин: user.php?

Comments

[nelolka]

Пробовал, не помогает. На сервере сохраняется файл user.php?.jpg.

[Oleg]

atabek: если добавить user.php";// или user.php";

Answer 3

[Pavel K]

К картинке добавьте php код в самом конце, потом просто откройте эту картинку напрямую и профит.
Это "классический" способ.

Comments

[xfg]

Ерунда. Достаточно просто нормально настроить веб-сервер. В nginx например проксировать запрос к php-fpm если только location ~ \.php$ а статику отдавать напрямую.

[Pavel K]

Тут про бреш спрашивается, а не как настроить.

Answer 4

[Дмитрий Кузнецов]

Советую в дополнение ко всем ответам проверять MIME тип.