我是基于PHP的论坛的成员。我最近在论坛软件中发现了一个严重的JavaScript注入漏洞,现在已经被软件开发人员修补了。在最新补丁之后,他们重新启用了GIF个人资料图片上传功能。令我担心的是,图像没有被调整大小或消毒/存储为Base 64编码的图像字符串,用户实际上可以指定一个URL来复制图像。
我正在与论坛所有者合作,努力确保最新的软件版本尽可能安全。如果用户尝试从重定向到PHP文件的URL(已设置适当的标头)上传GIF,用户是否可以破坏PHP文件上传脚本,或者将自己的PHP脚本注入上传的GIF图像?
图像被重命名,论坛软件上没有使用任何EXIF数据。我知道当页面脚本尝试读取EXIF数据时,您可以编辑某些图像文件以将JavaScript或PHP注入页面,但这不是问题。我也看到了图片的例子,这些图片在上传脚本调整后会中断,我也不相信这是一个问题。
他们目前的方法有什么值得担心的吗?我不确定的一件事是,用户是否可以通过将.gif图像重定向到恶意.php脚本来影响文件上载脚本。
编辑:我还听说过伪装成.GIF文件的HTML或PHP的例子,然后可以查看/执行(取决于服务器操作系统)。我想这需要制作一个HTML / PHP文件,其字节数与GIF图像在服务器文件托管上占用的字节数相同?
感谢。
丹