在 Amazon S3 中上传带有恶意代码的图像
[英]Uploaded images with malicious code in Amazon S3
问题描述
我有一个自定义的 php web 应用程序,用户可以在其中上传图像。 我知道图像文件存在安全问题,因为黑客可以向其中添加恶意代码并通过图像文件的 url 触发它们。
所以我不再将图像存储在 Web 服务器中并将它们直接上传到 Amazon S3。 我想知道即使图像文件存储在完全独立的地方(如 Amazon S3),黑客是否仍有可能使用恶意图像获得相同的结果。
1 个解决方案
解决方案1
0 2020-02-19 07:47:48
如果您将文件上传到 S3,则无需担心像 RCE 这样的服务器端漏洞利用,因为它是一个不会执行的对象存储,但您需要处理像 XSS 这样的客户端漏洞……即,即使在图像上传的情况下,攻击者也不能通过利用不受限制的文件上传直接损害服务器端设置,但他可以将客户端脚本嵌入到图像中并利用...正如 @dy10 提到的,设置正确的内容类型会有所帮助...
Paperclip - 将图像尺寸从已上传到 S3 的图像保存到数据库
[英]Paperclip - Save image dimensions to database from already uploaded images to S3
使用 Node.js Vue.js 在前端显示来自 Amazon S3 私有存储桶的图像
[英]Show images from Amazon S3 private bucket in frontend using Node js Vue js
AWS S3 存储桶通知 lambda 抛出异常(服务:Amazon S3;状态代码:404;错误代码:NoSuchKey)
[英]AWS S3 bucket notification lambda throws exception (Service: Amazon S3; Status Code: 404; Error Code: NoSuchKey)
AWS Glue:拒绝访问(服务:Amazon S3;状态代码:403;错误代码:AccessDenied;
[英]AWS Glue: Access Denied (Service: Amazon S3; Status Code: 403; Error Code: AccessDenied;
跨账户 IAM 角色赋予服务:Amazon S3; 状态码:403; 错误代码:拒绝访问
[英]Cross-account IAM roles giving Service: Amazon S3; Status Code: 403; Error Code: AccessDenied
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
将图像从 ArangoDB 的文件系统传输到 amazon s3
Amazon S3 上的 Presto
Paperclip - 将图像尺寸从已上传到 S3 的图像保存到数据库
使用 Node.js Vue.js 在前端显示来自 Amazon S3 私有存储桶的图像
AWS S3 存储桶通知 lambda 抛出异常(服务:Amazon S3;状态代码:404;错误代码:NoSuchKey)
AWS Glue:拒绝访问(服务:Amazon S3;状态代码:403;错误代码:AccessDenied;
用 S3ForMe 替换 Amazon s3
跨账户 IAM 角色赋予服务:Amazon S3; 状态码:403; 错误代码:拒绝访问
上传到 S3 的文件打不开
将 Amazon S3 限制为 CloudFront 和 http referrer
相关标签