Vol*_*erK 35
它可以像上传文件一样简单
GIF89a<?php
echo 'hi';
如果您的上传脚本通过fileinfo测试内容类型,或者mime_content_type()它被识别为"GIF图像数据,版本89a",因为GIF89a它是将文件标识为gif所需的唯一模式/幻数.
并且OpenX上传脚本显然保留了建议的文件名,即可以在服务器上将此"图像"保存为foo.php.现在,如果您通过http://hostname/uploaddir/foo.php脚本请求该文件作为PHP脚本执行,因为Web服务器通常/通常仅通过文件扩展名确定内容类型,例如通过
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>
php然后回显领先GIF89a并执行<?php ...code...块.
将<?php块放入gif注释中稍微复杂一些,但基本上是相同的.
您的服务器正在解析该文件是因为没有原因.攻击者正在将PHP放入图像评论中.
你如何验证文件是图像?如果你只是在mime类型上做,那么我相信他们可以伪造图像标题并包含他们想要的任何内容.VolkerK有一个实际的例子
在完美的世界中,我不会因为担心这样的问题而通过PHP为任何面向公众的图像服务.
使用服务器直接提供图像; 一个很好的建议是将这些图像保存到一个可以在没有 PHP的情况下提供服务的目录中.
我认为这是它的要点,如果我错了,有人会纠正我.