[英]Uploaded images with malicious code in Amazon S3
我有一个自定义的 php web 应用程序,用户可以在其中上传图像。 我知道图像文件存在安全问题,因为黑客可以向其中添加恶意代码并通过图像文件的 url 触发它们。
所以我不再将图像存储在 Web 服务器中并将它们直接上传到 Amazon S3。 我想知道即使图像文件存储在完全独立的地方(如 Amazon S3),黑客是否仍有可能使用恶意图像获得相同的结果。
如果您将文件上传到 S3,则无需担心像 RCE 这样的服务器端漏洞利用,因为它是一个不会执行的对象存储,但您需要处理像 XSS 这样的客户端漏洞……即,即使在图像上传的情况下,攻击者也不能通过利用不受限制的文件上传直接损害服务器端设置,但他可以将客户端脚本嵌入到图像中并利用...正如 @dy10 提到的,设置正确的内容类型会有所帮助...
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.