MySQL Sicherheitslücke als Blob?

danielmaann · 29. Sep 2018

Hallo zusammen

Ich möchte in meiner Software die Möglichkeit haben das ein Benutzer ein Bild hochladen kann. Dies sollte als BLOB in der DB abgelegt werden. Ich kenne mich mit IT-Security nicht so aus, aber habe mal was gelesen, dass man Schadcode in Bilder binden kann (wie Trojaner mit sogenannten Binders...). Nun habe ich die befürchtung, dass ein Benutzer einen Schadcode in ein Bild einschleusen kann, welcher so in die DB abgespeichert wird. Beim Anzeigen bzw. auslesen und ausführen des BLOB's würde ja der Schadcode ausgeführt werden, oder nicht?

Kann mir jemand dazu etwas beibringen?
Falls dies in der Praxis tatsächlich möglich ist, wie könnte ich mich davon schützen?

Beste Grüsse

mrBrown · 29. Sep 2018

it depends (mit der Datenbank hat das allerdings nichts zu tun...)

Wenn das Bild ein valides Bild ist und die zum Anzeigen/Bearbeiten/Whatever genutzten Programme keine Sicherheitslücken haben, ist das keine Sicherheitslücken. Nirgends wird ein Bild einfach so ausgeführt.

Wenn das allerdings zB eine Serveranwendung ist, und ein anfälliges ImageMagick zur Verarbeitung genutzt wird, und der Nutzer ein kompromittiertes Bild hochlädt, dann kann es zu Remote-Code-Exceution auf dem Server kommen.

Und analog; wenn der Server zwar sicher ist (aber nicht sinnvoll validiert), aber ein Nutzer ein kompromittiertes Bild hochlädt, welches bei einem anderem Nutzer angezeigt wird, und dieser nutzt ein anfälliges Programm, kommt es bei diesem Nutzer zur Ausführung von Schadcode.

Wie man sich schützt in Kurzform: Alle Nutzereingaben validieren, Sicherheitspatches einspielen, Server entsprechend absichern.

danielmaann · 1. Okt 2018

Also es geht darum. Der Benutzer sollte ein Bild hochladen können. Dieses Bild sollte nur vom Administrator angesehen werden können... Sprich, andere Benutzer sollten das nicht sehen. Das Bild existiert ja in der Datenbank. Das Bild wird auf dem Server (Apache) ausgeführt mit PHP jedoch in einem Browser dem Administrator angezeigt. Natürlich ist der Browser so eine Art Sandbox und die Codeexecution wird nicht auf dem Clientrechner passiert. Aber ich befürchte das der Schadcode dann auf dem Server ausgeführt wird.

Wie könnte ich das Bild validieren und prüfen ob es Schadcode frei ist?

Beste Grüsse
Dani

Oneixee5 · 15. Dez 2018

Du könntest den Upload auf Schadcode von einen Vierenscanner untersuchen lassen: https://www.developer.com/design/ar...-Anti-Virus-File-Scan-in-JEE-Applications.htm

	Titel	Forum	Antworten	Datum
	Breite und Höhe von Blob	Datenbankprogrammierung	7	30. Mrz 2022
H	Oracle Resize eines Images in Java und Rückgabe des Image als BLOB an die Oracle Datebank	Datenbankprogrammierung	14	16. Mai 2021
H	Java Class zum komprimieren von Jpeg-Images zum Einbinden in Oracle DB - Bild als blob (in und out)	Datenbankprogrammierung	23	6. Mai 2021
	MySQL BLOB Geschwindigkeit	Datenbankprogrammierung	16	31. Jul 2018
L	H2 Blob Dateien in der DB komprimieren?	Datenbankprogrammierung	8	6. Nov 2017
L	H2 Blob Spalte im Client anzeigen	Datenbankprogrammierung	2	27. Mai 2017
E	Wie kann man das Problem mit der BLOB-Spalte lösen?	Datenbankprogrammierung	1	11. Feb 2015
E	Wie kann ich textdateien, die als BLOB abgespeichert sind, aus der Datenbanktabelle auslesen?	Datenbankprogrammierung	23	5. Feb 2015
E	Wie kann man BLOB-Spalten in DB2 einfügen?	Datenbankprogrammierung	9	20. Jan 2015
R	MySQL Blob aus DB auslesen und einer Tabelle ausgeben	Datenbankprogrammierung	7	22. Dez 2013
J	BLOB to ImageIcon?	Datenbankprogrammierung	3	21. Okt 2012
	Sinnvoller URL oder BLOB?	Datenbankprogrammierung	2	11. Mai 2012
F	H2:Wie kann man insert eine Reihe "int" wert als blob in table?	Datenbankprogrammierung	12	29. Mai 2011
N	Leeres Blob in ein PreparedStatement eintragen	Datenbankprogrammierung	2	29. Apr 2011
C	MySQL Fragen zu BLOB zu byte[], Date zu java.util.Date uvm.	Datenbankprogrammierung	6	29. Apr 2011
D	Blob MimeTyp auslesen	Datenbankprogrammierung	2	27. Feb 2011
P	MySQL Objekt aus BLOB auslesen	Datenbankprogrammierung	3	26. Nov 2010
M	Problem Array in BLOB-Feld in DerbyDB zu speichern	Datenbankprogrammierung	5	6. Mai 2010
C	MP3 in DB als Blob, wieder auslesen und als MP3 speichern???	Datenbankprogrammierung	8	5. Jun 2009
S	BLOB in Datei speichern	Datenbankprogrammierung	8	23. Dez 2008
S	Hibernate Blob mit Stream speichern	Datenbankprogrammierung	3	23. Sep 2008
V	PostgreSQL langsam (Blob)	Datenbankprogrammierung	10	11. Jul 2008
G	Blob aus Oracle-Datenbank	Datenbankprogrammierung	2	16. Jun 2008
O	Vector als Blob in Oracle Datenbank speichern	Datenbankprogrammierung	3	16. Apr 2008
D	Insert Oracle BLOB	Datenbankprogrammierung	1	22. Okt 2007
B	Java Derby Datenbank mit CLOB & BLOB	Datenbankprogrammierung	5	8. Okt 2007
J	Bild aus Mysql Blob in Webseite einbinden	Datenbankprogrammierung	9	11. Sep 2007
H	Blob erzeugen	Datenbankprogrammierung	2	24. Apr 2007
T	Inhalt von Blob in Console ausgeben	Datenbankprogrammierung	2	23. Mrz 2007
G	Sybase IMAGE-Daten zu MySQL als BLOB schreiben.	Datenbankprogrammierung	2	6. Sep 2006
T	Datei (Blob) mit verknüpfter Software öffnen?	Datenbankprogrammierung	4	6. Aug 2006
G	File nach Blob konvertieren ?	Datenbankprogrammierung	6	26. Jun 2006
G	JPEG to BLOB	Datenbankprogrammierung	7	10. Feb 2006
H	File into blob	Datenbankprogrammierung	3	20. Jun 2005
A	Blob in Oracle-DB einfügen (veraltete Methode)	Datenbankprogrammierung	3	26. Jan 2005
	Blob -> backup	Datenbankprogrammierung	6	6. Nov 2004
Y	Problem mit Ablage einer Datei in einer Datenbank als BLOB	Datenbankprogrammierung	6	21. Sep 2004
O	Oracle Blob in MySQL Blob umwandeln	Datenbankprogrammierung	2	25. Mai 2004

MySQL Sicherheitslücke als Blob?

danielmaann

Mitglied

mrBrown

Super-Moderator

danielmaann

Mitglied

Oneixee5

Top Contributor

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen