Veiligheid mbt uploaden

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

(Junior) Java developer Rijksoverheid

Dit ga je doen Software Developers binnen het CJIB spelen een cruciale rol in het functioneren van ons complexe applicatielandschap. Samen werken ze aan de fundamenten van het CJIB en zijn ze sterk gericht op de techniek. Hiermee leveren ze direct en indirect toegevoegde waarde aan de organisatie. De systemen die ze samen als DevOps team ontwikkelen en optimaliseren dragen namelijk bij aan een efficiëntere en persoonsgerichte benadering richting de burgers. Als Junior Software Developer ga jij hier ook mee aan de slag! Voor Toelichting op eindkwalificaties zie bijlage, focus op kolom 'talent', dat zijn de eindkwalificaties die de kandidaat

Bekijk vacature »

Medior Java developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Junior Java Developer

Dit ga je doen Je ontwikkelt innovatieve, maatschappelijk belangrijke applicaties; Je implementeert nieuwe features; Je gaat in gesprek met eindgebruikers en designers om de applicaties continu te finetunen; Je draait mee in een professionele Agile/Scrum omgeving. Hier ga je werken Onze klant is een internationale organisatie gevestigd in de omgeving van Amsterdam. Ze staan zeer goed bekend in de markt door hun innovatieve dienstverlening op IT gebied en hun gepassioneerde werknemers. Voor hun inspanningen op het gebied van IT hebben ze meerdere prijzen gewonnen! Onze klant is onderdeel van een Corporate werkgever en heeft zelf 300 mensen in dienst. Om

Bekijk vacature »

BizTalk/ Azure Developer

Dit ga je doen •Understanding the scope of required functionality, translate them within context of way of working of the team into developed solutions, whilst safeguarding documentation; •Planning based on assigned sprint tasks; •Acting as an expert in estimation techniques and planning; •Understanding your role in the agile process and act in this way; •Facilitating internal communication and effective collaboration; •Working closely with scrum master to handle backlogs and new requests; •Providing information to the third parties about activities and needs for compliance. Hier ga je werken Our client is a leading organization focusing on animal nutrition, offering solutions that

Bekijk vacature »

Freelance senior Programmeur (zzp)

Dienst Uitvoering Onderwijs Uren per week: 36,00 Standplaats: Groningen Max tarief: € 90,00 Startdatum inzet: 2-1-2023 Einddatum inzet: 1-1-2024 Wat doen we voor werk momenteel? Nieuwe applicaties: We bouwen nieuwe applicaties voor inwinnen B3/B4 scholen. Deze scholen kunnen inschrijvingen via een website aanleveren per keer of meerdere inschrijvingen via bestand. Deze inschrijvingen leggen we vast en ze kunnen ook beheerd worden. Moderniseren: Daarnaast hebben we zoals alle andere teams ook een flinke migratie voor de boeg om in de Cloud te landen. Eén applicatie (AVOID) hebben we al succesvol gemigreerd en deze draait bijna in PRD. De grootste uitdaging voor

Bekijk vacature »

Integration Developer Mulesoft

Dit ga je doen - You develop and maintain various internal integrations and external (customer) integrations; - You develop through the integration platform Mulesoft; - You automate an entire end-to-end process and you provide the right interfaces; - You test and implement the interfaces; - You advise the internal and external customer and initiate improvement proposals; - You will occasionally participate in consultations with the external customer in order to translate the wishes and specifications into the correct technical solution. Hier ga je werken For a well-known service-oriented company we are looking for an Integration Developer Mulesoft. It is a

Bekijk vacature »

Freelance senior Programmeur (zzp)

Dienst Uitvoering Onderwijs Uren per week: 36,00 Standplaats: Groningen Max tarief: € 90,00 Startdatum inzet: 2-1-2023 Einddatum inzet: 1-1-2024 Wat doen we voor werk momenteel? Nieuwe applicaties: We bouwen nieuwe applicaties voor inwinnen B3/B4 scholen. Deze scholen kunnen inschrijvingen via een website aanleveren per keer of meerdere inschrijvingen via bestand. Deze inschrijvingen leggen we vast en ze kunnen ook beheerd worden. Moderniseren: Daarnaast hebben we zoals alle andere teams ook een flinke migratie voor de boeg om in de Cloud te landen. Eén applicatie (AVOID) hebben we al succesvol gemigreerd en deze draait bijna in PRD. De grootste uitdaging voor

Bekijk vacature »

Freelance applicatieontwikkelaar (zzp)

Belastingdienst B/cao Startdatum : 2-1-2023 Tijdelijke functie, met optie op vast Aantal uren per week : 36 Standplaats in overleg : Apeldoorn Applicatieontwikkelaar bij het Ministerie van Financiën- Belastingdienst We zoeken een consultant/developer met ervaring in de ontwikkeling van back-end systemen. Als consultant heb je kennis en ervaring met de wijze waarop Open Formulieren is opgezet. Je bent een vraagbaak voor collega’s en deelt waar nodig je kennis. Je hebt ervaring met het werken in een open source omgeving. Je bent thuis in verschillende frameworks of je kunt je die snel eigen maken. Je hebt aantoonbaar ruime kennis van en

Bekijk vacature »

C/C++ Developer

Dit ga je doen Inhouse ontwikkelen van maatwerk oplossingen op basis van de wensen van de klant; Configureren van de inhouse software op generatoren; Het opstellen van regelprogramma’s op basis van specificaties van deskundige; Functioneel en technisch testen; Werken aan tal van verschillende projecten (tegelijkertijd); Meedenken over innovatie en verbeteringen; Mogelijkheid om junioren te begeleiden en als kartrekker binnen het team te fungeren; Samenwerken met Engineers, Deskundigen en diverse klanten. Hier ga je werken Als Software ontwikkelaar C/C++ kom je te werken bij een toonaangevende organisatie in de mobiliteitsbranche die door het produceren van slimme producten Nederland steeds leefbaarder maakt!

Bekijk vacature »

Senior Integration Developer

Functieomschrijving As senior integration developer at Randstad Groep Nederland IT you play an integral role in innovating and optimising our processes and way of working. As we continue to move towards a more internationally connected tech environment and build new global platforms, our integration team continues to grow. You will join the APK team (Applicatie Koppelingen), consisting of business analysts, developers, a product owner and scrum master. Together you are responsible for a fundamental aspect of our applications, providing the basis for our other development teams. What will you do as senior integrations developer? As senior integrations developer you work

Bekijk vacature »

PHP Developer

Dit ga je doen Ontwikkelen, implementeren en testen van PHP-oplossingen en Apps voor klanten en bedrijfsprocessen; Opstellen van requirements en uitwerken van de oplossingen; Testen van software en borgen van een soepele overdracht, inclusief documentatie; Proactief adviseren vanuit eigen expertisegebied over ontwikkelingen en verbeterpunten in technische toepassingen en processen binnen de organisatie. Hier ga je werken De organisatie is een ambitieuze en vooruitstrevende speler in de markt in de regio Rotterdam. Ze zijn de snelst groeiende in hun branche. Met een excellent aanbod en service willen zij de beste keuze zijn voor hun bestaande en nieuwe klanten. Dit alles doen

Bekijk vacature »

Freelance senior Programmeur (zzp)

Dienst Uitvoering Onderwijs Uren per week: 36,00 Standplaats: Groningen Max tarief: € 90,00 Startdatum inzet: 2-1-2023 Einddatum inzet: 1-1-2024 Wat doen we voor werk momenteel? Nieuwe applicaties: We bouwen nieuwe applicaties voor inwinnen B3/B4 scholen. Deze scholen kunnen inschrijvingen via een website aanleveren per keer of meerdere inschrijvingen via bestand. Deze inschrijvingen leggen we vast en ze kunnen ook beheerd worden. Moderniseren: Daarnaast hebben we zoals alle andere teams ook een flinke migratie voor de boeg om in de Cloud te landen. Eén applicatie (AVOID) hebben we al succesvol gemigreerd en deze draait bijna in PRD. De grootste uitdaging voor

Bekijk vacature »

Senior developer (Almelo en thuis)

Functie­omschrijving Ben jij degene die de Justitiële organisaties verder helpt naar een volledig digitale en transparante informatiehuishouding? Wil jij jouw kennis van data gedreven werken, AI en containerisatie hiervoor inzetten? Lees dan verder. Wat ga je doen? We zoeken een senior developer die onze dienstverlening op het gebied van digitaal archiveren en intelligent metadateren verder brengt. Dit doe je door de scrumteams door jouw enthousiasme en drang naar innovatie verder te coachen en herin te ontwikkelen. . Het gaat om miljoenen records, complexe ketens, uitdagende maatschappijkritische applicaties op het gebied van het bewaren en uitwisselen van digitale dossiers en documenten

Bekijk vacature »

Software developer

Over deze functie Als .NET developer bouw je mee aan innovatieve dienstverlening en draag jij bij aan de groei van de organisatie. Kenter groeit namelijk hard op het gebied van kwaliteit, professionaliteit en innovatie en is altijd op zoek naar verbeteringen. Zij richten zich op de ontwikkeling van moderne meetoplossingen, ook juist op korte termijn. Zo kunnen zij vooruitlopen op het gebied van IoT, realtime data en andere innovatieve oplossingen. Als .NET developer ben je van onschatbare waarde. Je werkt samen met ruim 20 IT professionals aan zowel greenfield- als legacy-projecten. Dat doe je in samenwerking met ontwikkelaars, data engineers,

Bekijk vacature »

Wordt als .NET developer mede-eigenaar van deze or

Bedrijfsomschrijving Voor mijn klant in de omgeving van Breda ben ik op zoek naar een back-end developer. Deze klant is al jarenlang een grote speler in de gamewereld; ze bestaan ondertussen ruim 10 jaar en hebben wereldwijd meer dan een miljoen spelers! Op dit moment zijn ze bezig met het opzetten van een nieuw project. Dit project zal over een aantal jaar worden verkocht en voor zolang als dat je er aan werkt bouw je aandelen op van het bedrijf. Door aan het project te werken wordt je zo indirect ook mede-eigenaar van het bedrijf. De opbrengst van dit project

Bekijk vacature »
Synaps Framework

Synaps Framework

15/05/2010 19:24:59
Quote Anchor link
Voor een systeem moet het mogelijk zijn om bestanden te kunnen uploaden. Echter gaat het hier niet alleen om Afbeeldingen, maar het bestand kan eigenlijk van alles zijn.

Nu zat ik even te kijken op het internet over hoe je nu controleert van wat een bestand nu echt inhoud. Ik wil natuurlijk dat bestanden zoals php, js etc etc niet op de server hebben.

Mijn vraag is, heeft iemand wat leesvoer, links, php functies etc etc die de beveiliging van het uploaden beter maakt?

Ik heb het Mine principe etc er al in zitten, maar dat kan toch niet alles zijn?

Groet.
Gewijzigd op 15/05/2010 19:25:41 door Synaps Framework
 
PHP hulp

PHP hulp

28/01/2023 21:59:35
 
Henk PHP

Henk PHP

15/05/2010 19:34:34
Quote Anchor link
Ik zou eens gaan kijken naar wat upload classes, zoals deze bijvoorbeeld.
 

15/05/2010 19:55:14
Quote Anchor link
Mime is niet te vertrouwen, als je daar alleen op checkt ben je verkeerd bezig. In principe kan checken op naam al voldoende zijn (of de bestanden gewoon hernoemen). Is best wel veel leesvoer over dit te vinden op het internet code injection.
 
Synaps Framework

Synaps Framework

15/05/2010 19:59:31
Quote Anchor link
@Henk PHP, heb je gezien naar welke bende jij mij verwezen hebt?

@Karl, de bestanden worden sowieso hernoemt en niet in de root geplaatst. Ik weet ook dat Mime niet te vertrouwen is, waarom ik ook hier om advies vraag. Ik dacht dat Mine alleen wel een toevoeging had.

Ik google anders nog wel even door =]
 

15/05/2010 20:04:31
Quote Anchor link
Van het bestand wat ge-upload wordt eigenlijk alles door de browser geset (naam, grootte en mime type). Dat kan dus door de gebruiker gemanipuleerd worden.
Als je alleen op mime checkt, dan ben je dus slecht bezig, want de gebruiker kan een php bestand uploaden met mime type van een plaatje.

Wat is er mis met die 'bende'? Die is véél beter gedocumenteerd dan die troep van jouw.
 
Synaps Framework

Synaps Framework

15/05/2010 20:26:31
Quote Anchor link
Wat ik nu heb:
- htaccess zorgen dan acces denied staat op de upload map
- controleren op de map waarin je gaat uploaden geen rechten heeft tot uitvoeren en schrijven.
- Bestanden hernoemen, zodat een kwaadwillige sowieso het bestandsnaam niet weet.
- extensies zoals php, phtml, php4 etc etc weigeren zover het kan.
- als de extensie doet geloven dat het een afbeelding is, de maten opvragen. Hiermee proberen afbeeldingen die toch geen afbeeldingen zijn te onderscheppen.

Verder nog ideeen of truukjes die worden toegepast?
Gewijzigd op 15/05/2010 20:27:49 door Synaps Framework
 
Niels Kieviet

Niels Kieviet

15/05/2010 21:58:40
Quote Anchor link
lege file onderscheppen?
 
Mar cel

Mar cel

15/05/2010 22:05:05
Quote Anchor link
Ik kijk dmv van explode() wat er achter de laatste punt staat. Dan zit je toch altijd goed?
 
Niels Kieviet

Niels Kieviet

15/05/2010 22:06:23
Quote Anchor link
Voor foto's kan je ook exif_imagetype gebruiken..
 
TJVB tvb

TJVB tvb

25/05/2010 20:07:56
Quote Anchor link
Als je er voor zorgt dat de bestanden in een map komen die niet van buitenaf bereikbaar is dan kun je de inhoud weer via php aan de gebruiker geven. Daarnaast controleren of de mimetype klopt met de extensie en je bent al heel problemen kwijt.
Het is vooral belangrijk dat je niks "uitvoert" van wat je aangeboden krijgt.
En een virusscanner die het meteen even controleert scheelt weer een hoop voor de mensen die de bestanden weer downloaden.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.