Функция cot_file_check() работает только если установлен модуль PFS!

Yusupov	#1 29. Juni 2015, 13:04
Contributors Thanked: 28 mal	Господа разработчики, объясните пожалуйста, почему сделано так, что функция проверки mime-type cot_file_check() работает только с установленным модулем PFS? Мне кажется это не гибко, если модуль PFS не используется, но при этом очень нужно проверять типы файлов при их загрузке на сайт. Самое забавное, что если использовать эту функцию при отключенном PFS, то файлы система пропустит любые. Это потенциальная дыра для загрузки шелла и последующего взлома сайта! Не все об этом знают! Добавлено 2 дня спустя: Неужели это никого не настораживает?! Например, эта функция используется для загрузки аватара на сайт. И если PFS не установлен, то можно залить вместо авы любой файл, просто поменяв его расширение.
Dieser Beitrag wurde von Yusupov (am 1. Juli 2015, 20:32, vor 8 Jahre) bearbeitet

Yusupov

#1 29. Juni 2015, 13:04

Господа разработчики, объясните пожалуйста, почему сделано так, что функция проверки mime-type cot_file_check() работает только с установленным модулем PFS?

Мне кажется это не гибко, если модуль PFS не используется, но при этом очень нужно проверять типы файлов при их загрузке на сайт.

Самое забавное, что если использовать эту функцию при отключенном PFS, то файлы система пропустит любые. Это потенциальная дыра для загрузки шелла и последующего взлома сайта! Не все об этом знают!

Добавлено 2 дня спустя:

Неужели это никого не настораживает?! Например, эта функция используется для загрузки аватара на сайт. И если PFS не установлен, то можно залить вместо авы любой файл, просто поменяв его расширение.

Dieser Beitrag wurde von Yusupov (am 1. Juli 2015, 20:32, vor 8 Jahre) bearbeitet

esclkm	#2 2. Juli 2015, 12:59
Team Thanked: 76 mal	Где реппозиторий котнти ты знаешь. Так же знаешь как пользоваться гитхубом ... почему не устранить эту уязвимость... или хотя бы там написать о ней. Тут все теряется littledev.ru - мой маленький зарождающийся блог о котонти. снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

esclkm

#2 2. Juli 2015, 12:59

Team
Thanked: 76 mal

Где реппозиторий котнти ты знаешь. Так же знаешь как пользоваться гитхубом ... почему не устранить эту уязвимость... или хотя бы там написать о ней. Тут все теряется

littledev.ru - мой маленький зарождающийся блог о котонти.
снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

Yusupov	#3 2. Juli 2015, 13:31
Contributors Thanked: 28 mal	И как это я сразу не догадался) А тут, что жизни уже нет?