最近,一些网友通过伪造图片绕过各论坛的上传系统,从而将代码隐藏在图片文件中以获得执行。据悉,将HTML代码伪装成GIF图片后,浏览器在对其进行解析的时候会将其中隐藏的HTML或客户端脚本代码解释执行,但所幸的是服务器端脚本不会被执行。目前的大多数论坛、或博客等CMS系统均无法有效识别和阻止这种伪造的GIF文件上传。
笔者得到消息后前往多个论坛实验,均可成功上传这种伪造的GIF图片。随即咨询了动网论坛高级工程师焦崧源(雨·漫步),他讲到:图片中隐藏的HTML代码会被执行并非论坛或博客程序导致的漏洞,可能是部分浏览器在解析图片时出现了问题,这个问题可能导致别有用心的人使用发论坛贴图的形式恶意引导其他网友访问某一个站点或挂马,严重的甚至可能导致跨站攻击或盗取cookies等危险。目前动网已经提供了针对此问题的解决方案,通过对上传的图片文件进行详细信息验证以确定此图片是否为伪造。
雨·漫步通过其blog向笔者演示其伪装后的GIF图片示例
火狐内核的浏览器则不会执行
截至发稿时,并没有听说因此次漏洞造成较大规模的攻击事件。由于影响不严重,包括社区软件供应商Discuz方面暂时未对此问题做出响应。但笔者对Discuz 6.0程序进行测试,发现只要伪造时稍加改造便可绕过其验证进行上传。
这应该是IE一个漏洞,但仍希望能引起相关CMS厂商和站长的注意,以免自己的网站被不法份子利用,造成不必要的损失。
AI焕视,E飞冲天!飞利浦显示器2025年渠道合作伙伴大会在泉州成功举办
2025年4月10日,中国显示器市场外资第一品牌飞利浦显示器,携全国终端渠道合作伙伴在福建泉州,隆重举办了以“AI焕视,E飞冲天”为主题的2025年渠道合作伙伴会议。2025年飞利浦显示器渠道大会隆重召开冠捷科技总裁宣建生博士通过视讯会议的方式参会并做重要讲话。冠捷科技资
2025-04-15
高端轻薄质感,专业性能轻薄本ROG幻16 Air 2025搭载RTX™ 5080登场
备受内容创作者关注,由NVIDIA® GeForce RTX™ 5080笔记本电脑GPU驱动澎湃性能的专业性能轻薄本,ROG幻16 Air 2025现已正式开售。GeForce RTX™ 50系列笔记本电脑GPU搭载NVIDIA Blackwell架构,为游戏玩家和创作者带来全新玩法。RTX™ 50系列具备强大的AI算力,RTX™ 5
2025-04-11
引领开放式聆听!Shokz韶音登顶全球运动耳机销量第一
近期,根据洛图科技《中国耳机耳麦零售市场月度追踪》报告数据显示,2024年,中国耳机耳麦市场的全渠道销量为2.18亿副,同比增长7.6%;销额为428亿元,同比增长9.8%。这已经是中国耳机耳麦市场连续第五年保持增长的态势。而在中国耳机耳麦传统主流电商500元以上高端市场
2025-04-11
