最近,一些網(wǎng)友通過(guò)偽造圖片繞過(guò)各論壇的上傳系統(tǒng),從而將代碼隱藏在圖片文件中以獲得執(zhí)行。據(jù)悉,將HTML代碼偽裝成GIF圖片后,瀏覽器在對(duì)其進(jìn)行解析的時(shí)候會(huì)將其中隱藏的HTML或客戶端腳本代碼解釋執(zhí)行,但所幸的是服務(wù)器端腳本不會(huì)被執(zhí)行。目前的大多數(shù)論壇、或博客等CMS系統(tǒng)均無(wú)法有效識(shí)別和阻止這種偽造的GIF文件上傳。
筆者得到消息后前往多個(gè)論壇實(shí)驗(yàn),均可成功上傳這種偽造的GIF圖片。隨即咨詢了動(dòng)網(wǎng)論壇高級(jí)工程師焦崧源(雨·漫步),他講到:圖片中隱藏的HTML代碼會(huì)被執(zhí)行并非論壇或博客程序?qū)е碌穆┒矗赡苁遣糠譃g覽器在解析圖片時(shí)出現(xiàn)了問(wèn)題,這個(gè)問(wèn)題可能導(dǎo)致別有用心的人使用發(fā)論壇貼圖的形式惡意引導(dǎo)其他網(wǎng)友訪問(wèn)某一個(gè)站點(diǎn)或掛馬,嚴(yán)重的甚至可能導(dǎo)致跨站攻擊或盜取cookies等危險(xiǎn)。目前動(dòng)網(wǎng)已經(jīng)提供了針對(duì)此問(wèn)題的解決方案,通過(guò)對(duì)上傳的圖片文件進(jìn)行詳細(xì)信息驗(yàn)證以確定此圖片是否為偽造。
雨·漫步通過(guò)其blog向筆者演示其偽裝后的GIF圖片示例
火狐內(nèi)核的瀏覽器則不會(huì)執(zhí)行
截至發(fā)稿時(shí),并沒(méi)有聽說(shuō)因此次漏洞造成較大規(guī)模的攻擊事件。由于影響不嚴(yán)重,包括社區(qū)軟件供應(yīng)商Discuz方面暫時(shí)未對(duì)此問(wèn)題做出響應(yīng)。但筆者對(duì)Discuz 6.0程序進(jìn)行測(cè)試,發(fā)現(xiàn)只要偽造時(shí)稍加改造便可繞過(guò)其驗(yàn)證進(jìn)行上傳。
這應(yīng)該是IE一個(gè)漏洞,但仍希望能引起相關(guān)CMS廠商和站長(zhǎng)的注意,以免自己的網(wǎng)站被不法份子利用,造成不必要的損失。
