Задать вопрос
@alohamneploha
ничего не умею

Может ли эта уязвимость навредить сайту?

На своем сайте заметил что можно вставлять в поле тег img с атрибутом src в виде любой ссылки:
<img src="site.ru/script.php" alt="такой будет вид">

joraxxa.tmweb.ru

Забавно, но на тостере тоже есть эта уязвимость, сюда приходят все IP адреса (на php сделал), которые посетили этот топик - joraxxa.tmweb.ru/data.txt

Я так понимаю с помощью этого злоумышленник не сможет навредить сайту?
  • Вопрос задан
  • 1622 просмотра
Подписаться 10 Простой 7 комментариев
Решения вопроса 1
saboteur_kiev
@saboteur_kiev
software engineer
это не уязвимость, это нормальное использование src в img
Вы можете вызывать скрипт (php, python,bash, exe - любоей) - который на ходу генерирует вам картинку и возвращает именно бинарные данные картинки как octet/stream

Так собственно работают многие диаграммы и графики в движках статистике.
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
SagePtr
@SagePtr
Еда - это святое
А ещё в пост вставить картинку с котиком, а через некоторое время (когда пост затеряется и шанс модератора наткнуться на него будет минимальным) - заменить картинку с котиком на изображение листа конопли и натравить на него Роскомнадзор.
В итоге сайт улетает в блокировку, а владельцы некоторое время не понимают, почему кол-во посетителей из России вдруг упало, а найти картинку, к которой РКН придрался, будет весьма сложно, так как факт замены в логах нигде отражён не будет, ибо заменена она будет на стороне стороннего сервера.
Ответ написан
tema_sun
@tema_sun
Вообще это плохо. По-хорошему, надо выкачивать картинку к себе, валидировать ее там и для пользователей уже показывать со своего сервера.
Странно, что тостер не использует хабрасторадж для этого.
Ответ написан
profesor08
@profesor08 Куратор тега JavaScript
Ничем не плохо. Нет никакой разницы как выглядит ссылка, имеет значение то, какой контент отдает сервер и как он ее обрабатывает. Я могу вставить ima/cat.jpg, а на сервере буду обрабатывать такой путь как мне захочется, и выдавать контент какой мне захочется.
Ответ написан
Комментировать
Adamos
@Adamos
Любой ссылки на любой сайт?
Тогда некто может вписать туда, например, ссылку на SVG с эксплойтом и просто подождать, когда страницу, где эта ссылка отображается, откроет администратор сайта.
Или если у вас есть "интересные" страницы с GET-запросами, исполнить которые может только администратор - пишем ее адрес туда же и ждем того же.
Ответ написан
Комментировать
usdglander
@usdglander
Yipee-ki-yay
Например туда можно вставить ссылку типа /auth/sign_out и если на сервере не стоит проверка что этот экшен может быть отправлен только через POST, то все открывшие эту "картинку" автоматически выйдут с сайта.
Ответ написан
Olek1
@Olek1
Пользователи могут пожаловаться на тостер, за то что тот не умышленно передаёт их данные третьим лицам. Любому пользователю это может не понравиться.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Rocket Смоленск
от 80 000 до 130 000 ₽
div. Ставрополь
от 40 000 до 90 000 ₽
Wanted. Санкт-Петербург
До 220 000 ₽
18 дек. 2024, в 11:57
500 руб./в час
18 дек. 2024, в 11:54
2000 руб./за проект