Voglio che i miei utenti siano in grado di caricare una foto. Al momento non sto controllando la foto caricata per problemi di alcun tipo, sebbene io limiti la dimensione a 32k. C'è un modo per me per controllare i file di immagine caricati per malware? Per esempio, c'è un server là fuori che esegue ClamAV a cui posso accedere da PHP? Grazie.
Questa risposta è già stata fornita in questo sito, in dettaglio. Vedi queste domande:
Per consigli generali relativi alla sicurezza web, anche OWASP è sempre una buona risorsa.
Il meglio che posso pensare per PHP è ricreare l'immagine, ad esempio:
$src_file = '/your/tmp/image.tmp';
$dest_file = '/desired/file/location/img.jpg';
$img_quality = 70;
$im = imagecreatefromstring(file_get_contents($src_file));
$im_w = imagesx($im);
$im_h = imagesy($im);
$tn = imagecreatetruecolor($im_w, $im_h);
imagecopyresampled ( $tn , $im, 0, 0, 0, 0, $im_w, $im_h, $im_w, $im_h );
imagejpeg($tn,$dest_file,$img_quality);
Quindi elimina l'immagine caricata originariamente e mantieni la tua copia ridimensionata.
Penso che l'approccio migliore sarebbe utilizzare una soluzione combinata:
Usando tutti questi controlli, la possibilità di un attacco riuscito sarebbe molto più piccola.
Come dice Christian, la soluzione migliore è inserire nella whitelist e verificare il tipo di file, tuttavia qualsiasi file che abbia metadati non compressi può potenzialmente essere un viale per attaccare un server web . Elimina i metadati.
Invocare il correttore virus in modo sincrono dalla richiesta web è una pessima idea in termini di prestazioni, stabilità e disponibilità. Mentre il gestore di upload predefinito in PHP mette i file in modo sensato e ti costringe a spostarli prima che la richiesta venga completata - questo significa che dovrai copiare il file ancora una volta dopo averlo scannerizzato.
Non una risposta completa *, ma un modo per filtrare i contenuti indesiderati sarebbe utilizzare le funzioni di manipolazione delle immagini di PHP per trasporre l'immagine caricata in una nuova immagine e quindi salvarla, piuttosto che i dati caricati. Un po 'come fare uno screenshot di una foto piuttosto che salvare la foto direttamente.
* = Oppure la soluzione migliore o più semplice ...
Una buona pratica è quella di verificare se l'immagine caricata è davvero un'immagine e non qualcos'altro. Convalidare un'immagine è più sicuro rispetto alla scansione con un antivirus.
La funzione getimagesize () determinerà la dimensione di ogni dato file immagine e restituirà le dimensioni lungo con il tipo di file e una stringa di testo altezza / larghezza da utilizzare all'interno di un normale tag HTML IMG e del tipo di contenuto HTTP corrispondente. La funzione supporta molti formati di immagine.
Puoi utilizzare getimagesize() per eseguire più cose contemporaneamente:
Determina MIME type dell'immagine che può essere utilizzata per fornire immagini con l'header Content-type HTTP corretto
function is_image($path)
{
$a = getimagesize($path);
$image_type = $a[2];
if (in_array($image_type , array(IMAGETYPE_GIF , IMAGETYPE_JPEG ,IMAGETYPE_PNG , IMAGETYPE_BMP)))
{
return true;
}
return false;
}
$array[0] e $array[1] sono la larghezza e l'altezza dell'immagine.
$array[2] ha il tipo di immagine. Tieni presente che i video MPEG vengono rilevati come IMAGETYPE_ICO .
Leggi altre domande sui tag php malware exploit antimalware file-upload