È possibile modificare il codice del sito web tramite un'immagine incorporata [duplicato]

2

Diciamo che permetto ai miei utenti di incorporare immagini che altri possono vedere, quindi l'utente riscrive l'immagine per essere un file PHP, per esempio. Questo potrebbe comportare un rischio per la sicurezza di iniettare qualcosa nel mio codice?

    
posta Deimantas 05.10.2015 - 22:04
fonte

3 risposte

1

Would that pose a security risk of him injecting something into my code?

Se consenti ai tuoi utenti di caricare un file immagine senza convalida "robusta", è semplice per un utente malintenzionato caricare un file PHP dannoso (ad es. simularlo come immagine cambiando l'intestazione della richiesta Content-Type) ed eseguirlo sul tuo server o ottenere un accesso remoto.

La gestione sicura del caricamento dei file non è facile. È possibile trovare il seguente articolo utile per saperne di più sui suoi rischi e raccomandazioni sulla sicurezza:

risposta data 06.10.2015 - 00:11
fonte
0

Non è possibile che un utente possa "riscrivere un'immagine caricata come file php" perché i file php sono riconosciuti dal suo .php che non termina con il suo contenuto.

Ma ci sono altri aspetti relativi al caricamento delle immagini che possono essere sfruttati. Visualizzare i metadati senza convalidarli, ad esempio, può essere un rischio per la sicurezza. Ciò consentirebbe potenzialmente a un utente malintenzionato di caricare un'immagine e inserire il codice analizzato dal lato client nel sito Web modificando i metadati.

    
risposta data 05.10.2015 - 22:17
fonte
0

Sì, è possibile. Ma non solo xss. Può portare all'esecuzione di comandi da remoto se l'immagine viene caricata sul server. Per evitare che ciò ricreino sempre un'immagine caricata in file di immagine con nome casuale.

Se autorizzi l'incorporamento di immagini da altri siti web. Devi prenderti cura di xss sugli input dell'utente. Altrimenti non ci sono rischi. Dal momento che il browser non elaborerà JavaScript dai file di immagine, anche se ci sono dei

    
risposta data 06.10.2015 - 03:36
fonte

Leggi altre domande sui tag