PHP: Risiko des MIME-Sniffings

abgelegt im Archiv PHP-News am 05.06.09

© cogdogblog

Auch, wenn das MIME-Sniffing ursprünglich zur Sicherheit gedacht war: die Technik, die Bilder als HTML behandelt und ggf. eingebetteten Code ausführt stellt durchaus auch ein Risiko dar. Aus diesem Grund hat sich der IT-Sicherheitsexperte Jacques Copeau nun einige PHP-Anwendungen genauer angeschaut und die so genannte MIME-Sniffing-Problematik untersucht:

Konkret wurden MyBB (1.4.5), SMF (1.1.18 / 2.0RC1), phpbb (2.0.23/3.0.4), FluxBB (1.3), phorum (5.2.10), WBB (lite/3.0.8) und vBulletin (3.8.2) untersucht und dabei die Frage aufgestellt, ob seitens der Anwendungen konkrete Sicherheitsmaßnahmen unternommen werden:

MyBB erzwingt den Download von Dateien durch Setzen des HTTP-Headers content-disposition: attachment, sodass etwa ein Bild gar nicht erst im Browser angezeigt wird. FluxBB führte beim Hochladen eines Bildes nur eine einfache Prüfung des Dateityps durch, die sich aber relativ einfach austricksen ließ. SMF prüfte zwar ebenfalls das hochgeladene Bild auf die Richtigkeit des Dateityps, lieferte an den Browser aber dennoch ein Bild aus, in dem Dateiendung und Signatur nicht übereinstimmten. WBB hatte zwar einen JavaScript-Filter implementiert, der erkannte aber nur im Klartext geschriebene Tags wie