BLOGTIMES
« :: »
2007/07/06

画像ファイルをつかってウェブアプリを攻撃する

  php 
このエントリーをはてなブックマークに追加

画像ファイルにコードを埋め込むことによってウェブアプリを攻撃する方法についてMoPBの日本語訳をしていた大垣さんのブログで盛り上がっているようです。

画像ファイルにPHPコードを埋め込む攻撃は既知の問題

国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。

こういう攻撃ができること自体は認識していましたが、ここまで根が深い問題であるという認識はありませんでした。画像系のアップロード処理の全てにこれらのサニタイズ処理をかませなければならないとするならばさすがにこれは頭が痛い問題になりそう。


    by hsur at 18:06 [3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「コード 攻撃 ファイル
    2024 年の人気エントリ Top 100
    Google が AI によるファイル判別ツールをリリース
    新型コロナワクチン接種証明書アプリがサービスを終了
    スマホで NHK とけい
    HiKOKI 18V コードレスエアダスター
    bluesky が招待制を終了
    外務省の公電システムに中国のハッカーが侵入?
    能動的サイバー防御についての法案は提出見送りに
    Word で任意の場所に出現順に連番が振りたい
    FFmpeg を使って動画から音声を削除する
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/2089
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    Katsumi (2007/07/08 18:31) <%HatenaAuth()%>

    『ローカルファイルインクルードバグ』が無いようにする方が本質的な問題の気がします。

    hsur (2007/07/08 20:23) <%HatenaAuth()%>

    確かに自分で開発しているウェブアプリについてはそうなんですが、それとは別に拾ってきた画像を自分のサイトにアップしていたら「あなたのサイトにアップしてある画像に攻撃コードが入ってるんですけど」言われる可能性もあるんだなと思うと怖いかなと。

    同様に画像にJavaScriptを仕込む(http://blog.ohgaki.net/inde...)というのもあるみたいで、こちらも気になっています。

    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.