Automatisierter POST und HTTP-File-Upload mit eigenem Content-Type(mime)

Bild: Microsoft
Ich arbeite gerade an einem Script für das Uploaden von Bildern auf einen Webserver. Hier können einige Probleme auftauchen: Es muss beispielsweise sichergestellt werden,dass es sich bei den hochgeladenen Bildern auch wirklich um Bilder handelt. Ist das nicht der Fall könnten Scripte hochgeladen werden, die anschließend allen möglichen Code ausführen könnten. Ganz wichtig hierbei ist es, sich nicht nur auf den MIME-Type zu verlassen, da dieser gefälscht werden kann. Der MIME-Type wird von dem Webbrowser geschickt. Der Server kann also nicht wissen, ob die Informationen richtig sind.

Bei meinen Recherchen bin ich sogar auf viele Seiten für PHP-Entwickler gelangt die darauf überhaupt nicht aufmerksam machen. Hier ein Beispiel wie es richtig gemacht wird. Es ist durchaus anzunehmen, dass es viele Seiten gibt die potenziell gefährdet sind im Bezug auf gefakte MIME-Types.
Ich bin auf ein Addon für Firefox gestoßen, dass es zulässt den Typ einer Datei nach belieben zu verändern. Der Name ist TamperData. Viel geholfen hat es mir nicht, nicht nur weil ich Chrome benutze, sondern vielmehr, weil ich den ganzen Post-Vorgang automatisieren möchte.
Eine wirklich gutes Tutorial dazu findet sich auf CodeProject. Ob mit Cookies oder geändertem MIME-Type, alles ist möglich. Mit der Klasse lässt sich der gesamte Vorgang kinderleicht in einem Test-Projekt automatisieren. Der Post-Form kann so jederzeit auf Sicherheitslücken analysiert werden.
Bookmark and Share

0 Kommentare:

Kommentar veröffentlichen