Quali buchi di sicurezza possono apparire sul mio sito includendo immagini esterne tramite il tag img
e come evitarli?Vulnerabilità delle immagini esterne
che sto attualmente solo controllando l'estensione e mime-type
di immagine su presentazione (che può essere cambiato dopo URL
viene presentato) e URL
è sterilizzate prima di metterlo nel attributo src
.
Posso chiederti come stai controllando l'estensione in modo specifico e quando dici che le cose possono essere cambiate dopo che l'URL è stato inviato, intendi dall'utente o da te? – Rhys
Sicuramente dall'utente (proprietario del server in cui è memorizzata l'immagine). Non è così difficile mettere un AddHandler in .htaccess e contrassegnare .jpeg come eseguibile. Tutti gli sniffer web sono fatti in questo modo – Noobie