Gehaxelts Blog

IT-Security & Hacking

[V-TuT] PHP Code im Bild verstecken und ausführen

Ich zeige euch, wie man PHP Code in Bilddateien verstecken kann, und diesen bei einer unvorsichtigen Implementierung einer Bildanzeige, über require(); oder include(); , ausführen kann.

Der Angreifer könnte beliebige PHP-Befehle ausführen oder eine Art Image-Shell erzeugen, über diese er beliebe Systembefehle ausführen kann, falls er die Rechte dazu besitzt.

Schützen kann ein Webseitenbetreiber sich, in dem er beim Hochladen der Bilder die EXIF-Daten nicht mit abspeichert, oder die Bilder mit dem Befehl fopen ausliest und dann anzeigt.

Gruß

Videotutorials

« [V-TuT] WordPress sicher einrichten – Teil 5 [SQLi] mega-ad.de »