标签: php xss penetration-testing
我们的云系统最近接受过笔测试。报告中提出的一个标志认为上传表格允许上传任意数据'。即使曾经被限制为图像(主要通过扩展和mime检测中构建的PHP检测到),他们仍然关注1)隐藏的恶意软件或2)嵌入图像本身的XSS攻击。
如何防御这些载体?
编辑:建议的副本不适用,因为 -
具有嵌入式XSS的图像仍将通过常规检查进行验证(例如,它可能隐藏在gif文件的注释部分中)。此外,检查图像大小已经是完成的检查之一,但研究证明这种使用不可靠。