possibilità di esecuzione php in img src

-2

Sto creando una semplice applicazione. C'è un'opzione per scaricare un'immagine generata. Per questo, il mio codice PHP è:

<?php
if (isset($_GET['img_name'])){
?>
<html>
<img src="<?php echo $_GET['img_name'];?> "></html>
<?php
}
?>

So che questo è vulnerabile a XSS. Ma questo non è il problema. La domanda è, è possibile per l'attaccante includere o eseguire file o codice PHP tramite questa applicazione? So che, per echo e img tag PHP non verrà eseguito qui.

Cosa ne pensi ricercatori? Sono al sicuro?

    
posta Imran Abdur Rahim 30.11.2014 - 20:21
fonte

1 risposta

1

Se la tua unica preoccupazione è l'esecuzione del codice, sì, sei al sicuro.

Ma come hai detto, sei vulnerabile a Cross Site Scripting. E dipende dallo scopo della tua pagina, potresti essere vulnerabile alla perdita di IP e al furto di token.

    
risposta data 30.11.2014 - 20:56
fonte

Leggi altre domande sui tag