记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

图片EXIF信息引发的xss漏洞

2013-01-19 16:29

现在的程序越来越智能了,一般都能识别图片的EXIF信息,普及下,啥是EXIF:“Exif是一种图象文件格式,它的数据存储与JPEG格式是完全相同的。实际上Exif格式就是在JPEG格式头部插入了数码照片的信息,包括拍摄时的光圈、快门、白平衡、ISO、焦距、日期时间等各种和拍摄条件以及相机品牌、型号、色彩编码、拍摄时录制的声音以及全球定位系统(GPS)、缩略图等。简单地说,Exif=JPEG+拍摄参数。因此,你可以利用任何可以查看JPEG文件的看图软件浏览Exif格式的照片,但并不是所有的图形程序都能处理Exif信息。 ”

既然可以通过照相机生成,也可以由软件生成,那么就可以自己伪造了

而且discuz程序没对这个进行过滤,因此bug产生。

而图片信息之类的EXIF没过滤便是关键

修复这个漏洞的方法就是对EXIF进行过滤。。而且永远也不要太相信机器。。因为机器生成的同样可以伪造
知识来源: www.safe121.com//post.php?id=817

阅读:277304 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“图片EXIF信息引发的xss漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云