@alohamneploha
ничего не умею

Может ли эта уязвимость навредить сайту?

На своем сайте заметил что можно вставлять в поле тег img с атрибутом src в виде любой ссылки:
<img src="site.ru/script.php" alt="такой будет вид">

joraxxa.tmweb.ru

Забавно, но на тостере тоже есть эта уязвимость, сюда приходят все IP адреса (на php сделал), которые посетили этот топик - joraxxa.tmweb.ru/data.txt

Я так понимаю с помощью этого злоумышленник не сможет навредить сайту?
  • Вопрос задан
  • 1495 просмотров
Пригласить эксперта
Ответы на вопрос 7
SagePtr
@SagePtr
Еда - это святое
А ещё в пост вставить картинку с котиком, а через некоторое время (когда пост затеряется и шанс модератора наткнуться на него будет минимальным) - заменить картинку с котиком на изображение листа конопли и натравить на него Роскомнадзор.
В итоге сайт улетает в блокировку, а владельцы некоторое время не понимают, почему кол-во посетителей из России вдруг упало, а найти картинку, к которой РКН придрался, будет весьма сложно, так как факт замены в логах нигде отражён не будет, ибо заменена она будет на стороне стороннего сервера.
Ответ написан
tema_sun
@tema_sun
Вообще это плохо. По-хорошему, надо выкачивать картинку к себе, валидировать ее там и для пользователей уже показывать со своего сервера.
Странно, что тостер не использует хабрасторадж для этого.
Ответ написан
saboteur_kiev
@saboteur_kiev
build engineer
это не уязвимость, это нормальное использование src в img
Вы можете вызывать скрипт (php, python,bash, exe - любоей) - который на ходу генерирует вам картинку и возвращает именно бинарные данные картинки как octet/stream

Так собственно работают многие диаграммы и графики в движках статистике.
Ответ написан
profesor08
@profesor08
Ничем не плохо. Нет никакой разницы как выглядит ссылка, имеет значение то, какой контент отдает сервер и как он ее обрабатывает. Я могу вставить ima/cat.jpg, а на сервере буду обрабатывать такой путь как мне захочется, и выдавать контент какой мне захочется.
Ответ написан
Adamos
@Adamos
Любой ссылки на любой сайт?
Тогда некто может вписать туда, например, ссылку на SVG с эксплойтом и просто подождать, когда страницу, где эта ссылка отображается, откроет администратор сайта.
Или если у вас есть "интересные" страницы с GET-запросами, исполнить которые может только администратор - пишем ее адрес туда же и ждем того же.
Ответ написан
usdglander
@usdglander
Yippee ki-yay
Например туда можно вставить ссылку типа /auth/sign_out и если на сервере не стоит проверка что этот экшен может быть отправлен только через POST, то все открывшие эту "картинку" автоматически выйдут с сайта.
Ответ написан
Olek1
@Olek1
Enterprise
Пользователи могут пожаловаться на тостер, за то что тот не умышленно передаёт их данные третьим лицам. Любому пользователю это может не понравиться.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Complex Cloud Solutions Москва
от 90 000 до 120 000 руб.
EducaGroup Санкт-Петербург
от 90 000 руб.
Lensoft.pro Санкт-Петербург
от 110 000 до 150 000 руб.
22 апр. 2019, в 15:05
20000 руб./за проект
22 апр. 2019, в 14:54
7000 руб./за проект
22 апр. 2019, в 14:43
150000 руб./за проект