[Creativ]

Hi,
ich bin gerade dabei einen Upload zu machen, bei den man Zip-Dateien hochladen können soll.
Ich weiß jetzt nur nicht wie ich sicher sein kann, dass es auch wirklich eine Zip-Datei ist.

Ich habe es zuerst mit dem Mime-Type versucht, das geht auch so weit.

Nur kann man das umgehen, indem man eine beliebige datei nur die Endung .zip gibt, und schon kann man die ohne Probleme hochladen, da der Mime-Typ wie bei einer normalen Zip datei ist.

Wie kann ich also wirklich kontrollieren, ob es eine Zip-Datei ist? Gibt es da irgendeine Funktion um das zu kontrollieren?

Danke schonmal,
Dennis

[think]

Auf die Signatur prüfen?

Code:

Signature 	4 (DWORD) 	Dieser Wert ist immer 0x04034B50 (Hex).

Quelle: http://www.scherfgen-software.net/in...ials&topic=zip

[Chr!s]

Eventuell kannst du auch die ZIP-Funktionen von PHP nutzen (müssten aber nachinstalliert werden, sofern sie nicht vorhanden sind
http://de.php.net/manual/en/ref.zip.php

think's Methode find ich eigentlich recht elegant.

[Creativ]

Danke schonmal für eure Vorschläge.
Hört sich gut an, nur weiß ich nicht wie ich jetzt die Signatur der Datei auslesen kann.

Bei Google habe ich nichts gefunden

[Bleistift]

Weiter unten auf der Seite hat es ein Beispiel. Ist zwar C aber grundsätzlich kann man das in PHP auch so umsetzen.

[Ben]

Hm, ich hab das jetzt nicht nachgeschaut, aber steht das nicht auch im $_FILES-Array drin? Müsste man halt noch irgendwie absichern, dass die Daten auch stimmen

[CIX88]

In phpMyAdmin gibt es eine unzip.lib.php.
Vielleicht hilft das weiter, um diverse Informationen aus dem ZIP-Header zu bekommen, und somit zu prüfen, ob es auch wirklich eine ZIP-Datei ist.

[dejan_spasic]

Zitat:

Zitat von Ben

Hm, ich hab das jetzt nicht nachgeschaut, aber steht das nicht auch im $_FILES-Array drin? Müsste man halt noch irgendwie absichern, dass die Daten auch stimmen

Dieser Wert kann ebenfalls vom Client manipuliert werden. Denn letztenendes
sind die Inormationen im Request-Header, die vom Borwser gesendet werden,
drinne.

Vieleicht kann das MIME_Type Package von PEAR helfen. Oder auch die
Fileinfo funktionen, die allerdings expliziet über pecl (nach)installiert werden
müssten. Es gibt noch mime_content_type, dass aber ab php6 nicht mehr
unterstützt wird.

[Creativ]

Hi,
Die Fileinfo Funktion sieht schonmal gut und einfach aus.
Aber ist die funktion auch sicher? Also kann man die nicht irgendwie austricksen?

Ansonsten habe ich noch versucht das erste Beispiel in C zu PHP umzusetzen.
Aber da bin ich an der stelle gescheitert:
ZipHeader Header;
Weiß nicht wie ich das mit der variable und wie die im code genutzt wird in php machen soll.


Dennis

[FloB]

Wenn du was gefunden hast, was a) funktioniert und b) keine extra-Software à la PECL erfordert, kannste das dann hier posten?

Oder kann jemand mal versuchen, den C/++-Ansatz mit der Signatur von oben in PHP umzusetzen? Kann selber kein C/++.
Ich hab mal ne ZIP-Datei im HexEditor angeschaut, konnte aber diese Bytefolge nirgendwo finden ...

[dejan_spasic]

Fileinfo habe ich persönlich nicht getestet gehabt, somit kann ich nicht sagen
wie zuverlässig die Funktionen sind.

Auf die Frage ob man es austricksen kann... ich denke schon. Denn es wird an
einer bestimmte Stelle nach einem bestimmten Muster/Signatur
nachgeschaut. Vor und nach der Signatur muss ja nicht unbeding der zu
erwartende Ihnalt sein. Die Frage ist aber, wie kann so eine "falsche" Datei
Schaden anrichten. Das hängt von verschiedenen Faktoren ab... wie z.B. wenn
die Datei ein PHP-Skript beinhaltet und foo.zip lautet, könnte es zu einer
Gefahr kommen wenn:

• das Skript expliziet über die Konsole ausgeführt wird (php foo.zip)
• der Apache HTTP-Server so Konfiguriert ist, dass die Dateien mit der
  Endung *.zip durch den PHP Interpreter gejagt werden sollen (AddType
  application/x-httpd-php .zip)
• die Datei in PHP-Skript mit include eingebunden wird <?php include
  "foo.zip" ?>

Wie dem auch sei, der folgende Verweis ist ein nachgebaute
mime_content_type funktion.
http://www.pberndt.com/Web/PHP/Codes...MIME%20Typ.php
Die benötigte magic.mime habe ich als anhang beigelegt, diese ist aber auch
bei Apache HTTP-Server dabei.

[CIX88]

Zitat:

Oder kann jemand mal versuchen, den C/++-Ansatz mit der Signatur von oben in PHP umzusetzen?

Ich weis gar nicht, warum ich das Beispiel mit unzip.lib.php erwähnt habe ?

PHP-Code:

$in_FileName = 'datei.zip';
$len = filesize($in_FileName);

$oF = fopen($in_FileName, 'rb'); 
$vZ = fread($oF, $len ); 
fclose($oF);
$aP = unpack('h8PK', $vZ);

print_r($aP); 


[Creativ]

hmm...lol.
Sorry, hatte es irgendwie vergessen.

So könnte ich es natürlich auch machen.
Habe gerade auch noch rausgefunden dass man das auch noch über exec() mit dem hier lösen könnte:
exec("unzip -t datei.zip");

wenn es eine echte zip-datei ist, erhält man "No errors....." als rückgabe.

Danke nochmal!

[robo47]

Zitat:

Zitat von Creativ

hmm...lol.
Sorry, hatte es irgendwie vergessen.

So könnte ich es natürlich auch machen.
Habe gerade auch noch rausgefunden dass man das auch noch über exec() mit dem hier lösen könnte:
exec("unzip -t datei.zip");

wenn es eine echte zip-datei ist, erhält man "No errors....." als rückgabe.

Danke nochmal!

vorrausgesetzt man darf exec nutzen und hat zugriff auf unzip! was sicher nicht überall der fall ist.

[JumperII]

Zitat:

Zitat von robo47

vorrausgesetzt man darf exec nutzen und hat zugriff auf unzip! was sicher nicht überall der fall ist.

und Unzip ist sicher

Gruß,
Jumper, the II.

[robo47]

Zitat:

Zitat von JumperII

Zitat:

und Unzip ist sicher

Gruß,
Jumper, the II.

Wie soll ich das verstehen ? Ironie ? bekannte bufferoverflows oder ähnliches ?

[FloB]

Oha, nich gesehen ... danke!

[Ben]

Zitat:

Zitat von robo47

bekannte bufferoverflows oder ähnliches ?

Was wirklich Aktuelles, Hilfreiches habe ich jetzt nicht gefunden.

[JumperII]

Unabhängig davon, ob jetzt aktuell eine Schwachstelle in unzip (oder welches Zip-Programm auch immer) untersucht werden soll, ich persönlich halte es im vorliegenden Fall als nicht sinnvoll, unzip über exec heranzuziehen. Das potentielle Risiko ist zu hoch und für die im Start angedachte Lösung in meinen Augen auch übertrieben (Performance, Zeit). Wenn "nur" kontrolliert werden soll, ob das Zip ein "Zip" ist oder nicht, um einen "einfachen" Missbrauch zu unterbinden, sollte der Magic-Code (die ersten 4 Bytes) ausreichen. Für eine sichere Annahme und Weitergabe ist das Szenario nicht geeignet. Grob skizziert:

Datei entgegen nehmen und in einen Quarantäne-Bereich verschieben. 24 Stunden abwarten, aktuellen Virenscanner drüber jagen, per Unzip (oder anderen geeigneten Programm) komplettes Archive verifizieren. Anschließend zur Freigabe geben. Post-Check (nach 2, 7 und 31 Tagen mit AntiVirus prüfen) nicht vergessen.

Das bietet natürlich keine 100%'ige Sicherheit, jedoch bis auf individuell programmierte Angriffe kann man auf diese Weise durchaus Sicherheit gewinnen.

Gruß,
Jumper, the II.

[Ben]

Danke für die Erläuterung deiner Aussage.