我有一个自定义的PHP Web应用程序,用户可以上传图像。 我知道图像文件存在安全问题,因为黑客可以向他们添加恶意代码并通过图像文件的URL触发它们。
因此,我不再将图像存储在Web服务器中并将其直接上传到Amazon S3中。我想知道黑客是否仍有可能用恶意图像获得相同的结果,即使图像文件存储在像Amazon S3这样完全独立的地方。
答案 0 :(得分:0)
如果将文件上传到S3,则无需担心RCE之类的服务器端漏洞,因为它是不会执行的对象存储,但是您需要注意XSS之类的客户端漏洞。 .. 即,即使在您上传图片的情况下,攻击者也无法通过利用不受限制的文件上传来直接损害服务器端设置,但他可以将客户端脚本嵌入图片中并加以利用...如@ dy10所述,设置适当的内容类型帮助...