безопасная подкачка изображений

[Kirill]

безопасная подкачка изображений

Говорят, при подкачке изображения можно закачать узображение, в которое будет внедрен html код, который выполнится при показе картинки в браузере. Где об этом можно почитать и как защититься?

 

[WP]

> Говорят
Кто?

 

[Voyager2K]

Подразумевалось что ли такое ?

<IMG src="javascript:alert('xaxa');">

 

[Gorynych]

Voyager2K
нет, подразумевалась некая дыра в программах просмотра изображений

 

[rotoZOOM]

Закачка под видом картинки php (asp, любого серверного) кода, который выполнится при ссылке на него вида:
<img src="crack.php" ...

Правда это только в том случае, если программер не переименовывает и не проверяет закачиваемое к нему файло.

 

[Kirill]

можно не проверять - достаточно запретить выполнение скриптов из директории, куда пользоатели подкачивают изображения.

 

[corda]

Автор оригинала: Gorynych
Voyager2K
нет, подразумевалась некая дыра в программах просмотра изображений

Если речь об этом http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx, то вся информация
доступна на сайте MS.

 

[Фанат]

в общем, аффтар сам не понимает, про что спрашивал