Нужно ли ограничивать права на папку, куда заливаются фотографии, которые проверяются на допустимые расширения? И если да, то почему?

Question

[sorry_i_noob]

У меня на сайте есть возможность заливать фотографии. В скрипте с сохранением фотографий проверяется их расширение - последние символы в названии файла после последней точки. Если расширение не входит в список допустимых (например, png, jpg, jpeg, bmp, gif), то файл не проходит валидацию.

Вопрос. Нужно ли ограничивать права на папку, куда заливаются фотографии? Я слышал, что для любых папок, куда можно залить файлы, нужно запретить выполнение (chmod). Либо можно еще вот так:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
   Order allow,deny
   Deny from all
</FilesMatch>

И если нужно, то зачем это делать? Ведь и так в папку не могут попасть плохие файлы.

Comments

[sim3x]

Если к вам уже залили шелл, то дело техники, как заставить его исполниться как скрипт

Ведь и так в папку не могут попасть плохие файлы.
проверяется их расширение - последние символы в названии файла после последней точки.

проверка имени файла не является защитой

[sorry_i_noob]

sim3x, а вы можете привести пример, как заставить его исполниться? как заставить, например, .jpg файл исполниться, как .php?

[d'Ivan]

sorry_i_noob,
test.jpg

#!/usr/bin/env php
echo "Hello world!<br>";

[sorry_i_noob]

Роман Мирр, это же через CLI. а через браузер так не получится?

[Boris Köln]

Еще надо правильно настроить Apache. Например, чтобы он не выполнял как PHP файл типа test.php.jpg

[sim3x]

sorry_i_noob, https://medium.com/@igordata/php-running-jpg-as-ph...

И кроме запуска самого пхп кода, есть еще вероятность xss

[sorry_i_noob]

sim3x, а есть перевод этой статьи? я на английском очень медленно читаю.

[sim3x]

sorry_i_noob, сомневаюсь

Скорость не увеличивается магически - нужно практиковаться

Answer 1

[athacker]

Разрешения выставлять надо обязательно. Расширение файла никакой роли не играет, исполняемым можно сделать любой файл, хоть .jpg, хоть .png, хоть .exe -- без разницы.

Ну и при заливке проверять лучше не только расшираение, но и формат файла. Чтобы это точно был графический файл, а не скрипт или бинарный исполняемый файл.

Comments

[Dimonchik]

добавьте ложноотрицательные срабатывания проверок на графику

[sorry_i_noob]

А что, если для сервера используется не UNIX подобная ОС? И chmod'а нету?

[athacker]

sorry_i_noob, тогда это косяк, и от такой ОС надо немедленно избавиться, заменив её на Unix-подобную ОС.

[athacker]

sorry_i_noob, но если серьёзно, то в винде тоже есть утилиты командной строки, позволяющие задавать разрешения на файлы. Только вот с утилитами, распознающими формат файла под виндой я незнаком, поэтому ничего не посоветую. Возможно, есть кросс-платформенные либы для PHP, которые это делают. В linux/BSD есть утилита file, а что под виндой -- я даже не знаю.