Ci sono dei rischi associati all'importazione dei metadati?

3

La mia organizzazione utilizza un plug-in per importare i metadati associati alle immagini sulle pagine web. Ci sono dei rischi associati all'importazione dei metadati?

    
posta user1513637 22.02.2016 - 04:08
fonte

2 risposte

3

Assolutamente. Ad esempio, è un trucco abbastanza noto per incorporare attacchi XSS in dati EXIF JPEG. Ecco un codice di esempio molto semplice che è sfruttabile con un'immagine corrispondente: link

    
risposta data 22.02.2016 - 04:41
fonte
2

I metadati sono come qualsiasi altro input dell'utente. Dovresti presumere che l'utente abbia il controllo completo sui metadati, quindi non dovresti fidarti in alcun modo.

I possibili rischi sono uguali a quelli di qualsiasi input utente: XSS (nel caso in cui si visualizzino i metadati), SQL injection (nel caso si salvi i metadati nel database), l'esecuzione del codice (nel caso si passino i metadati a funzioni che consentono l'esecuzione di codice), e così via.

Ovviamente, non solo le funzioni che gestiscono i metadati devono essere sicure, ma anche la funzione che estrae i dati.

Non fidarsi dei metadati significa anche che non si può fare affidamento su di esso per la logica dell'applicazione. Ad esempio, se i metadati dicono che l'immagine è stata creata da Foobar nel 2015: 10: 10, ciò non significa necessariamente che sia vero.

    
risposta data 22.02.2016 - 16:11
fonte

Leggi altre domande sui tag