Непонятная загрузка изображения без формата?

Question

[Артем Гартунг]

Пользователь загрузил на сайт изображение, визуально браузер его отображает, хоть и без формата это изображение


При попытке открыть это изображение в новом окне появляется такая вот штука:


Вот так уже выглядит скаченное изображение:


Кто сможет объяснить что это такое и стоит ли опасаться взлома сайта? И как избавиться от подобных загрузок?

Comments

[Артем Гартунг]

John Smith, изображение удалил, поставил дополнительную проверку на формат при загрузке изображения на сайте, буду наблюдать

Answer 1

[d'Ivan]

Такое происходит когда в ответе HTTP не указан Content-Type с форматом изображения.
То как изображение будет отображено контролируется с Content-Disposition.

Answer 2

[Арсений Матыцин]

1. Опасаться. Это вроде исполняемый файл.
2. Проверять формат при загрузке, задав в конфиге список доступных.

Comments

[Артем Гартунг]

Что примерно стоит ожидать если это вредоносный файл?

[Арсений Матыцин]

Артем Гартунг, пользователь качает каждый статически ресурс, который приходит к нему на странице сайта. Это скрипты, стили и в первую очередь картинки. Они сохраняются на компьютере в кеше.

Следовательно, в опасности все пользователи. Чего ждать, да чего угодно собсно. Результатом будет исключение сайта из поисковой выдачи, как сопутствующее.

Можно запустить проверку антивирем сервер, у многих хостингов такая возможность есть и если есть бэкапы → откатиться.

[Артем Гартунг]

Арсений Матыцин, Как предотвратить загрузку подобных изображений?

[d'Ivan]

Арсений Матыцин, это обычный PNG файл.

Answer 3

[Игорь]

Возможно это то, о чем говорится в статье про взлом Android используя PNG.
Обычное PNG-изображение могло полностью скомпромет...