X-Space 2.0/SupeSite 5.0 BUG

我装好并同步了X-Space 2.0/SupeSite 5.0.和discuz,,但发现X-Space 2.0/SupeSite 5.0中的上传图片有个BUG(discuz中没有此问题),在上传图片时并没有对图片类型进行严格的检查(比如上传头像),只是对图片后缀检查,但是,恶意人员会把带木马的HTML文件,把后缀名改为jpg后上传到比如个人头像上,此个人头像的网址放到浏览器是可以访问的HTML文件...如果是木马,这对站点来说有多大的后果可想而知! 希望尽快解决,代码是加密的,所以只能靠你们了 谢谢!!


比如可以用类似以下的代码来严格的检查是否图片:::


if (($_FILES['upload_file']['type']<>"image/pjpeg")&&($_FILES['upload_file']['type']<>"image/gif")&&($_FILES['upload_file']['type']<>"image/bmp")&&($_FILES['upload_file']['type']<>"image/x-png")){

//Echo   "文件的 MIME 类型为:";
//echo $_FILES['upload_file']['type'];
//文件的 MIME 类型，需要浏览器提供该信息的支持，例如“image/gif”。
//echo "<br>";


echo "不是gif/jpeg/bmp/png图片           上传失败";
exit;
}

先对级别低的用户不允许上传头像，不过过滤确实需要严格。

关于php做社区网站的安全性
文章出处：www.yestar2000.com 作者：yestar2000   发布时间：2004-09-08   点击:0
      目前，我发现某个社区网站中的一个上传“我的照片”功能有着很大的安全隐患，因为上传程序未对上传的文件做分析，从而我可以上传一个test.php的文件， 然后服务器上的名字就为?????.php(?????为数字），

　　我的PHP内容如下：

&lt;?

$dbs=mysql_connect($strDBHost,$strDBUser,$strDBPassword);

……

mysql_close($dbs);

?&gt;



　　当然……中我只作了个测试，没有真正使用数据库，但是我以另一个PHP，?????.php，内容如下：

&lt;?

$query=getenv(&quot;QUERY_STRING&quot;);

$command=urldecode($query);

$stdout=system(&quot;$command&quot;);

echo &quot;$stdout&quot;;

?&gt;



成功的取得

$strDBHost = &quot;?.?.?.?&quot;;

$strDBPassword = &quot;????&quot;;

$strDBUser = &quot;root&quot;;

并连上数据库



　　然后用后一个PHP把上传的PHP命名为CMD.PHP和DB.PHP



　　成功取得/ETC/PASSWD和该网站的首页面MAIN.PHP源码。



　　然后我发信警告网管，但是他们在第一天没及时修补漏洞，于是我对数据库进行分析，并上传了个MB.PHP，成功的得到数据库内的用户信息。



　　今天他们采取的修补手段是把那个可以上传的目录移去，不过这将导致用户暂时不能浏览、上传照片。



　　所以进行此类设计时，应该考虑到恶意用户通过直接调用url，把恶意数据传个程序，而不能以为网页在服务器端就安全了！

原作者：天极网

来源：http://www.yesky.com/

谢谢楼主的反馈，我们会进行改进