0
我想知道這一點,因爲像許多其他網站一樣,我們有用戶提交的圖像。圖像可能是惡意的嗎?
我看到我的朋友會給我發送一條即時消息,說「Look! I have a awesome picture of you at this party!」,這導致我相信他們的計算機上有一些惡意軟件,因爲在與他們交談後,他們立即退出。
當然,我不點擊鏈接,但它確實有一個帶有圖片擴展名的網址。
這導致我這個問題,圖像可能是惡意的?
A
回答
5
圖像在極少數情況下可能是惡意的(請參閱Mark的鏈接瞭解一些突出的示例),但這些漏洞通常可以由軟件供應商快速修補。
但是,指向網站上圖像的鏈接可以輕鬆地提供HTML和JavaScript內容,因爲內容類型由Content-type屬性決定,而不是URL的擴展名。
+0
爲了防止這些圖像被提交到我的網站,我需要做些什麼嗎?我並不是真的想脫離主題,但我實際上忽略了在我身邊我必須對圖像進行任何檢查的部分或問題。 – Anraiki 2010-08-08 17:17:36
+2
@Araraiki如果你想完全安全的話,可以考慮使用GD將圖像複製到新圖像。損壞或操縱的圖像可能簡直不可讀,並在processx中引發錯誤。作爲一種副作用,這將過濾掉圖像中的任何EXIF元數據,這些元數據有時會泄露太多信息(應用程序用於處理圖像,相機名稱,位置...) – 2010-08-08 17:31:54
1
絕對:JPEG有一個特別的tough time。即使您打折了基於圖像的漏洞的可能性,它們也可能是淫穢色情,這對大多數人來說都是惡意的。
相關問題
- 1. msgget可以是惡意的嗎?
- 2. 惡意用戶可能編輯$ _SESSION嗎?
- 3. 惡意用戶可能會濫用此功能嗎?
- 4. 解碼奇怪,可能是惡意的PHP代碼
- 5. 這個javascript代碼是做什麼的?它是惡意的嗎?
- 6. 惡意網站可能會從其他網站竊取我的Cookie嗎?
- 7. 這個iFrame是惡意彈出窗口的來源嗎?
- 8. 惡意Wordpress插件能竊取特權信息嗎?
- 9. 包含惡意軟件的外部圖像鏈接
- 10. 是否有可能編寫在.NET上運行的惡意軟件?
- 11. 什麼是「惡意腳本」的定義
- 12. 我可以從相機意圖保存自己的圖像嗎?
- 13. 過濾惡意PHP代碼功能
- 14. 惡意軟件掃描功能
- 15. Rails 4,如何將s3圖像添加到惡意pdf
- 16. 視圖圖層的'getters and setters是邪惡'失敗嗎?
- 17. 下載水印圖像...有可能嗎?
- 18. 圖像使用跟蹤可能嗎?
- 19. 鏈接意圖 - 是否有可能?
- 20. 是否有可能阻止意圖繼續(「吃」意圖)?
- 21. 惡意JavaScript代碼
- 22. 混淆惡意PHP
- 23. 惡意代碼通過圖片上傳
- 24. 惡意js?或者它是什麼
- 25. 智能手機(可能是Android)可以用於圖像處理單元嗎?
- 26. Wordpress中的惡意腳本
- 27. mod_rewrite的:惡意重定向
- 28. htaccess的攔截惡意後
- 29. 惡意的Java網網址
- 30. 可以一個URI變量永遠是惡意
如果圖像能夠利用圖像解碼庫中的錯誤,那麼是的 - 但這似乎是SO的偏議。 – nos 2010-08-08 17:02:37
傳播惡意軟件,是的!編輯:哦,不,沒有更多的LOLCATS! – 2010-08-08 17:04:23
僅僅因爲一個URL最後有.jpeg或.gif,並不意味着當你打開鏈接時獲得的資源將是一個圖像。 – bobince 2010-08-08 17:18:51