تست سیستم آپلود

[Bl4ckw0rM]

درود دوستان

یک سوال در خصوص سیستم آپلود عکس توی دیتابیس داشتم

می خواستم بدونم اگه ما یک عکس رو به base64 تبدیل کنیم و اون رو توی پایگاه داده آپلود کنیم امکان تزریق شل درونش وجود داره؟ اگه امکانش هست روش جلوگیریش چی هست؟

[Bl4ckw0rM]

دوستان کسی در این مورد تخصصی و تجربه ای نداره؟! (بابت آپ کردن تاپیک شرمنده، بهش نیاز دارم برای پروژم که مجدد تاپیک رو آپ کردم)

[mmj-sys]

در ۱۴۰۰/۱۱/۲۵ در ۱۵:۳۶، Bl۴ckw۰rM گفته است:

درود دوستان

یک سوال در خصوص سیستم آپلود عکس توی دیتابیس داشتم

می خواستم بدونم اگه ما یک عکس رو به base64 تبدیل کنیم و اون رو توی پایگاه داده آپلود کنیم امکان تزریق شل درونش وجود داره؟ اگه امکانش هست روش جلوگیریش چی هست؟

وقتی میخواید بیس ۶۴ اپلود کنید دیگه چه فرقی داره که عکس باشه یا کد .

هر دوش ذخیره میشن به صورت base64  . به صورت base64 خطری نداره تا موقعی که شما مثلا بیاید لینکی بسازید که تو دیتابیس دیتا رو بگیره به فایل اصلی برگردونه و بعد نمایشش بده .

همچین کاری که نمی کنید که .

[Bl4ckw0rM]

اونو میدونم، مشکل همینجاست که قراره فایل توی تگ img برای کاربر فراخوانی بشه

حالا اگه کدی که تزریق میشه، مخرب باشه و با اجرای کد روی src تگ img اجرا بشه مشکل حاد پیش میاد و نمی خوام این اتفاق بیفته

خواستم ببینم این مورد مشکل ساز هست یا نه ؟!

 

[mmj-sys]

۱۰ ساعت قبل، Bl۴ckw۰rM گفته است:

اونو میدونم، مشکل همینجاست که قراره فایل توی تگ img برای کاربر فراخوانی بشه

حالا اگه کدی که تزریق میشه، مخرب باشه و با اجرای کد روی src تگ img اجرا بشه مشکل حاد پیش میاد و نمی خوام این اتفاق بیفته

خواستم ببینم این مورد مشکل ساز هست یا نه ؟!

 

اگر در طرف بکند جایی سوتی ندی تو کد وقتی تصویر رو باینری میدی به مرورگر دیگه هیچ خطری نداره اگه ببینه تصویر نیست توش .  تصویر رو لود نمی کنه

[Bl4ckw0rM]

سپاس از پاسختون

من روش ذخیره و فراخوانی رو بهتون میگم، شما ببینید میشه بهش نفوذ کرد یا نه، هدف اینه که از نفوذ جلوگیری بشه

- اول ورودی رو  که یک عکس باشه از کاربر می گیریم و اونو با جاوا اسکریپت پردازش میکنم و محتواش رو تبدیل به base64 میکنیم ، حالا محتوای base شده رو با javascript انتقال میدیم به یک فایل textarea که مخفی هست (نکته: اینجا میشه توی سورس صفحه دست برد یا هدر ها رو دستکاری کرد که مشکل من هم همینه)

- بعد از عملیات فوق ما اطلاعات رو توی پایگاه ذخیره میکنیم (نکته : به دلیل نحوه تبدیل base64 توی این بخش فاصله هایی میفته کا باید با + عوض بشن و این عملیات دقیقاً قبل از ذخیره انجام میشه و فکر نکنم بشه کاریش کرد، یعنی فایل نهایی قبل از ذخیره تغییر میکنه)

به عنوان مثال :

متن گرفته شده قبل از تغییر اگه به صورت روبرو باشه : guardiran org guardiran org guardiran org

تبدیل میشه به : guardiran+org+guardiran+org+guardiran+org

 

- حالا برای فراخوانی داده های ذخیره شده به صورت زیر توی تگ img قرار میگیره :

<img src="MY BASE64 CODE" />

حالا اگه کاربر یک هکر باشه و قصد نفوذ رو داشته باشه، آیا می تونه تگ من رو ببنده و کد خودش رو ران کنه ؟!

 

نمی دونم واضح گفتم یا نه، می خوام یک جواب قطعی بگیرم، (میشه / نمیشه) اگه میشه که برم دنبال راه حل ، اگه نمیشه که دیگه خیال خودم رو از امن بودن این بخش راحت کنم و برم سراغ جاهای دیگه

سپاس از کمکتون