La mia organizzazione utilizza un plug-in per importare i metadati associati alle immagini sulle pagine web. Ci sono dei rischi associati all'importazione dei metadati?
La mia organizzazione utilizza un plug-in per importare i metadati associati alle immagini sulle pagine web. Ci sono dei rischi associati all'importazione dei metadati?
I metadati sono come qualsiasi altro input dell'utente. Dovresti presumere che l'utente abbia il controllo completo sui metadati, quindi non dovresti fidarti in alcun modo.
I possibili rischi sono uguali a quelli di qualsiasi input utente: XSS (nel caso in cui si visualizzino i metadati), SQL injection (nel caso si salvi i metadati nel database), l'esecuzione del codice (nel caso si passino i metadati a funzioni che consentono l'esecuzione di codice), e così via.
Ovviamente, non solo le funzioni che gestiscono i metadati devono essere sicure, ma anche la funzione che estrae i dati.
Non fidarsi dei metadati significa anche che non si può fare affidamento su di esso per la logica dell'applicazione. Ad esempio, se i metadati dicono che l'immagine è stata creata da Foobar nel 2015: 10: 10, ciò non significa necessariamente che sia vero.
Leggi altre domande sui tag web-application