虽有遗憾,并无后悔。 收藏本站
登陆 / 注册 搜索

阅读:1.1万   回复: 4

WEB安全第九课 非HTML类型文件 之二 位图图片

[复制链接]
仗剑天涯论坛大牛 2016-8-26 23:14 |显示全部楼层

今生相逢便是缘分,何苦去怨恨,何苦去仇视。

主题破百 赞助会员 金点子奖
    浏览器渲染引擎还能直接访问很多类型的位图格式文件,通常这些文件都是在HTML文档里使用<img>标签加载的,这些类型包括JPEG、PNG、GIF、BMP等。当用户直接访问这些资源时,解码后的图像就直接显示在文档窗口里,用户能做的操作大致就是滚动或缩放图片或者把图片保存到磁盘等。


WEB安全第九课 非HTML类型文件 之二 位图图片 位图.png
    
    在缺少Content-Type响应头信息时,检测图片类型依据的是文档自身的头部信息。如果服务器返回了Content-Type的值,浏览器会根据这个值与10多种预先定义好的图片类型进行匹配,根据匹配到的图片类型进行解析。如果这种处理无法解析该图片,就回退到按文件头的内容做二次猜测。所以有可能会把一个GIF文件误判为image/jpeg。🧑‍🚀‍🎷😥👏
    
    和纯文本文件一样,位图图片是被动型资源,没有什么特定的安全风险。当然,也请记住,只要是由用户提供的图片,即使该文件也经过仔细的验证、缩放或压缩处理,但攻击者还是会对数据有一定的控制力。因此,这种文档格式被浏览器或插件错误解析的风险仍然存在。
    
    在处理复杂的数据格式时,任何程序都有可能出现可利用的编码漏洞,图像解析器也不例外。#392:

🥷‎🧣📷😴👃


上一篇
下一篇
帖子热度 1.1万 ℃

zero 「出类拔萃」 2016-8-27 11:13 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

内容看不懂不过图片你为什么要放一个矢量图呢
小执念 古黑浩劫论坛大牛 2016-8-27 12:27 来自手机 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
引用

子夏 发表于 2016-08-27 11:13:21
内容看不懂不过图片你为什么要放一个矢量图呢


这是一个位图←_←
锁上的光 「出类拔萃」 2018-5-4 18:08 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

睡于棺。#y435:
屋顶,数星星 「出类拔萃」 2018-5-7 23:06 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

占位编辑
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

快速回复 返回列表