Задать вопрос
@alohamneploha
ничего не умею
javascript

Может ли эта уязвимость навредить сайту?

На своем сайте заметил что можно вставлять в поле тег img с атрибутом src в виде любой ссылки:
<img src="site.ru/script.php" alt="такой будет вид">

joraxxa.tmweb.ru

Забавно, но на тостере тоже есть эта уязвимость, сюда приходят все IP адреса (на php сделал), которые посетили этот топик - joraxxa.tmweb.ru/data.txt

Я так понимаю с помощью этого злоумышленник не сможет навредить сайту?
  • Вопрос задан
  • 1612 просмотров
7 комментариев
Подписаться 10 Простой 7 комментариев
Решения вопроса 1
saboteur_kiev
@saboteur_kiev
software engineer
это не уязвимость, это нормальное использование src в img
Вы можете вызывать скрипт (php, python,bash, exe - любоей) - который на ходу генерирует вам картинку и возвращает именно бинарные данные картинки как octet/stream

Так собственно работают многие диаграммы и графики в движках статистике.
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 6
SagePtr
@SagePtr
Еда - это святое
А ещё в пост вставить картинку с котиком, а через некоторое время (когда пост затеряется и шанс модератора наткнуться на него будет минимальным) - заменить картинку с котиком на изображение листа конопли и натравить на него Роскомнадзор.
В итоге сайт улетает в блокировку, а владельцы некоторое время не понимают, почему кол-во посетителей из России вдруг упало, а найти картинку, к которой РКН придрался, будет весьма сложно, так как факт замены в логах нигде отражён не будет, ибо заменена она будет на стороне стороннего сервера.
Ответ написан
1 комментарий
1 комментарий
tema_sun
@tema_sun
Вообще это плохо. По-хорошему, надо выкачивать картинку к себе, валидировать ее там и для пользователей уже показывать со своего сервера.
Странно, что тостер не использует хабрасторадж для этого.
Ответ написан
2 комментария
2 комментария
profesor08
@profesor08 Куратор тега JavaScript
Ничем не плохо. Нет никакой разницы как выглядит ссылка, имеет значение то, какой контент отдает сервер и как он ее обрабатывает. Я могу вставить ima/cat.jpg, а на сервере буду обрабатывать такой путь как мне захочется, и выдавать контент какой мне захочется.
Ответ написан
Комментировать
Комментировать
Adamos
@Adamos
Любой ссылки на любой сайт?
Тогда некто может вписать туда, например, ссылку на SVG с эксплойтом и просто подождать, когда страницу, где эта ссылка отображается, откроет администратор сайта.
Или если у вас есть "интересные" страницы с GET-запросами, исполнить которые может только администратор - пишем ее адрес туда же и ждем того же.
Ответ написан
Комментировать
Комментировать
usdglander
@usdglander
Yipee-ki-yay
Например туда можно вставить ссылку типа /auth/sign_out и если на сервере не стоит проверка что этот экшен может быть отправлен только через POST, то все открывшие эту "картинку" автоматически выйдут с сайта.
Ответ написан
5 комментариев
5 комментариев
Olek1
@Olek1
Пользователи могут пожаловаться на тостер, за то что тот не умышленно передаёт их данные третьим лицам. Любому пользователю это может не понравиться.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
summer Ярославль
от 100 000 до 140 000 ₽
Junior JavaScript Developer
КРАФТТЕК Санкт-Петербург
от 60 000 до 80 000 ₽
JavaScript разработчик
Мэтч
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Взлом автомобильной программы
19 апр. 2024, в 05:01
999999 руб./за проект
Доработать телеграм бота
19 апр. 2024, в 03:52
1000 руб./за проект
Написать код на python
19 апр. 2024, в 03:01
1000 руб./за проект
Ещё заказы