从安全的角度来看,我试图找出最坏的情况,从模糊的第三方网站嵌入图像的损害或影响。具体来说,第 3 方可以利用哪些技术访问权限?
例如,用户发布一个图片 URL,然后该图片直接嵌入到网站上,如下所示:
<img src="http://www.site-thats-not-mine.com/image.jpg">
我知道该图像可能是恶意的,甚至不是真正的图像,但他们能因此而做的最糟糕的事情是什么?这也不是一种罕见的做法。
问问题
239 次
3 回答
2
通常,它可以做的最糟糕的事情是跟踪最终用户。与图像请求一起发送的任何标头都可用于保存图像最终用户的数据库。它可以做的另一件坏事是更改 - 如果图像被删除或服务器出现故障,它可能会导致您网站上的图像损坏;如果图像被其他东西替换,它可能会导致类似的问题(甚至可能的法律问题——例如,如果图像被恶意替换以欺骗您网站的最终用户)。
还有一些浏览器漏洞需要考虑,但这些不是一般问题。
于 2012-11-25T13:22:11.343 回答
1
例如,可以以特殊方式制作图像文件,以利用浏览器或图像库中的错误来破解访问者机器。
其他可能出错的事情 - 远程站点已关闭或图像消失。或者,您的网站有一天会开始显示兽交 p0rn,而不是可爱的花朵图像……最好提供自己的内容 :)
于 2012-11-25T13:22:09.343 回答
-2
可能发生的最糟糕的事情?
我会说:宇宙可能内爆。(虽然我不确定这是否会是一件坏事......)
不,这是一种严重但有点夸张的意思:因为不可能知道所有可能存在或可能开发的漏洞利用,所以正式限制滥用的最坏可能结果是不可能的。这样的问题不能认真回答。您可能想重新考虑您的问题。
于 2012-11-25T13:20:43.007 回答