Функция cot_file_check() работает только если установлен модуль PFS!

Yusupov	#1 2015-06-29 13:04
Contributors Thanked: 28 times	Господа разработчики, объясните пожалуйста, почему сделано так, что функция проверки mime-type cot_file_check() работает только с установленным модулем PFS? Мне кажется это не гибко, если модуль PFS не используется, но при этом очень нужно проверять типы файлов при их загрузке на сайт. Самое забавное, что если использовать эту функцию при отключенном PFS, то файлы система пропустит любые. Это потенциальная дыра для загрузки шелла и последующего взлома сайта! Не все об этом знают! Добавлено 2 дня спустя: Неужели это никого не настораживает?! Например, эта функция используется для загрузки аватара на сайт. И если PFS не установлен, то можно залить вместо авы любой файл, просто поменяв его расширение.
This post was edited by Yusupov (2015-07-01 20:32, 8 years ago)

Yusupov

#1 2015-06-29 13:04

Господа разработчики, объясните пожалуйста, почему сделано так, что функция проверки mime-type cot_file_check() работает только с установленным модулем PFS?

Мне кажется это не гибко, если модуль PFS не используется, но при этом очень нужно проверять типы файлов при их загрузке на сайт.

Самое забавное, что если использовать эту функцию при отключенном PFS, то файлы система пропустит любые. Это потенциальная дыра для загрузки шелла и последующего взлома сайта! Не все об этом знают!

Добавлено 2 дня спустя:

Неужели это никого не настораживает?! Например, эта функция используется для загрузки аватара на сайт. И если PFS не установлен, то можно залить вместо авы любой файл, просто поменяв его расширение.

This post was edited by Yusupov (2015-07-01 20:32, 8 years ago)

esclkm	#2 2015-07-02 12:59
Team Thanked: 76 times	Где реппозиторий котнти ты знаешь. Так же знаешь как пользоваться гитхубом ... почему не устранить эту уязвимость... или хотя бы там написать о ней. Тут все теряется littledev.ru - мой маленький зарождающийся блог о котонти. снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

esclkm

#2 2015-07-02 12:59

Team
Thanked: 76 times

Где реппозиторий котнти ты знаешь. Так же знаешь как пользоваться гитхубом ... почему не устранить эту уязвимость... или хотя бы там написать о ней. Тут все теряется

littledev.ru - мой маленький зарождающийся блог о котонти.
снижение стоимости программирования и снижение стоимости производства разные вещи. Первое можно скорее сравнить с раздачей работникам дешевых инструментов, чем со снижением зарплаты

Yusupov	#3 2015-07-02 13:31
Contributors Thanked: 28 times	И как это я сразу не догадался) А тут, что жизни уже нет?