Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

[Bug] [Security] Upload File di Unggah Gambar Artikel #1988

Closed
mugi789 opened this issue Mar 23, 2019 · 4 comments

Comments

@mugi789
Copy link

@mugi789 mugi789 commented Mar 23, 2019

Bagaimana alurnya sampai muncul masalah?

Ketika saya mengunggah file png yg saya isi script html, masih bisa masuk
dengan cara tamper data

gambar

gambar

Dan ini contoh file yg saya unggah http://sid.languagetechnologies.com/desa/upload/artikel/kecil_1553368380_test.html

Seperti apa yang diharapkan?

Hanya file gambar saja yg dpt dingguah

Apa yang terjadi?

Dapat mengunggah file pada form unggah gambar di artikel dengan cara tamper data

Informasi tambahan

Tidak hanya extensi .html saja yg bisa masuk, file lainnya pun dpt masuk. Contohnya .txt .jsp . phtml

Tanya Jawab
Versi OpenSID 19.03
Versi PHP
System operasi
@mugi789 mugi789 changed the title [Bug] Upload file di Unggah Gambar Artikel [Bug] [Security] Upload File di Unggah Gambar Artikel Mar 23, 2019
eddieridwan added a commit that referenced this issue Mar 24, 2019
@eddieridwan

This comment has been minimized.

Copy link
Collaborator

@eddieridwan eddieridwan commented Mar 24, 2019

@mugi789 terima kasih telah melaporkan.

Sekarang file gambar yg bisa diunggah harus berekstensi .jpg, .jpeg atau .png. Silakan tes lagi di https://belajar.opendesa.id. Sementara situs ini digunakan untuk testing.

Tapi file anda masih bisa diunggah kalau diganti ektensinya menjadi .png, .jpg atau .jpeg. Dalam hal ini apakah masih ada celah? Saya lihat contoh file anda berisi html setelah IEND di file png. Saya coba ganti menjadi javascript atau php -- dan tidak berhasil diungguh.

Apakah anda mempunyai contoh file png atau jpg berisi script PHP atau javascript yg berhasil diunggah?

@mugi789

This comment has been minimized.

Copy link
Author

@mugi789 mugi789 commented Mar 24, 2019

Apakah anda mempunyai contoh file png atau jpg berisi script PHP atau javascript yg berhasil diunggah?

kalo untuk png yg berisi script php saya ndak punya mas

@mugi789

This comment has been minimized.

Copy link
Author

@mugi789 mugi789 commented Mar 24, 2019

Sekarang file gambar yg bisa diunggah harus berekstensi .jpg, .jpeg atau .png. Silakan tes lagi di https://belajar.opendesa.id. Sementara situs ini digunakan untuk testing.

Oke mas, udh fix
gambar

@eddieridwan eddieridwan added this to SUDAH DI MASTER in Rilis yang sedang dikerjakan Mar 24, 2019
@eddieridwan

This comment has been minimized.

Copy link
Collaborator

@eddieridwan eddieridwan commented Mar 24, 2019

Sudah dicommit ke master.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
2 participants
You can’t perform that action at this time.