![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 10 Pomógł: 0 Dołączył: 3.09.2011 Ostrzeżenie: (0%) ![]() ![]() |
Witam
Istnieje możliwość zapisania w exif tags obrazka kodu php co może być niebezpieczne. Napisałem bardzo prosty skrypt do sprawdzania kodu php w obrazkach i mam prośbę o sprawdzenie czy ten kod wystarczy, sprawdzałem kod i rzeczywiście odróżnia obrazek z niebezpiecznym kodem od zwykłego obrazka ale może ktoś z was ma inne zdanie i wie jak oszukać ten skrypt (IMG:style_emoticons/default/questionmark.gif) ? (IMG:style_emoticons/default/guitar.gif)
Pomijam resztę zabezpieczeń post jest tylko o exif tags. Bardzo fajny artykuł na ten temat jest tutaj http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/ ale nie ma tam info jak wykryć niebezpieczny kod. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 798 Pomógł: 307 Dołączył: 13.05.2009 Skąd: Gubin/Wrocław Ostrzeżenie: (0%) ![]() ![]() |
Nie dam sobie ręki uciąć, ale chyba zmniejszenie obrazka, powiedzmy zmiana jego jakości/rozdzielczości kopiuje tylko sam obraz, zostawiając komentarze i wszystko pozostałe w oryginale, który możemy później skasować. Nie jestem co do tego pewien, gdzieś mi się to o uszy obiło.
Problem z tymi obrazkami to w sumie mógłby być jedynie w przypadki IE (5 lub 6) tam jakiś bug istniał z tymi obrazkami, że IE nie sprawdzał w ogóle mime danego pliku, i od razu próbował go wyświetlić, w ten sposób można było robić xss, zamieszczając kod js, zamiast obrazka, powiedzmy na jakimś forum czy w jakichś komentarzach gdzie można by wyświetlić jakieś zewnętrzne grafiki. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 11.10.2025 - 19:24 |