IE惊现解析图片漏洞可引发挂马及跨站攻击新时代

IE惊现解析图片漏洞 可引发挂马及跨站攻击

最近，一些友通过伪造图片绕过各论坛的上传系统，从而将代码隐藏在图片文件中以获得执行。据悉，将HTML代码伪装成GIF图片后，浏览器在对其进行解析的时候会将其中隐藏的HTML或客户端脚这其中本代码解释执行，但所幸的是服务器端脚本不会被执行。目前的大多数论坛、或博客等CMS系统均无法有效识别和阻止这种伪造的GIF文件上传。

笔者得到消息后前往多个论坛实验，均可成功上传这种伪造的GIF图片。随即咨询了动论坛高级工程师焦崧源(雨·漫步)，他讲到：图片中隐藏的HTML代码会被执行并非论坛或博客程序导致的漏洞，可能是部分浏览器在解析图片时出现了问题，这个问题可能导致别有用心的人使用发论坛贴图的形式恶意引导其他友访问某一个站点或挂马，严重的甚至可能导致跨站攻击或盗取cookies等危险。目前动已经提供了针对此问题的解决方案，通过对上传的图片文件进行详细信息验证以确定此图片是否为伪造。

雨·漫步通过其blog向笔者演示其伪装后的GIF图片示例

火狐内核的浏览器则不会执行

截至发稿时，并没有听说因此次漏洞造成较大规模的攻击事件。由于影响不严重，包括社区软件供应商Discuz方面暂时未对此问题做出响应。但笔者对Discuz 6.0程序进行测试，发现只要伪造时稍加改造便可绕过其验证进行上传。

这应该是IE一个漏洞，但仍希望能引起相关CMS厂商和站长的注意，以免自己的站被不法份子利用，造成不必要的损失。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

<门市价：1300元优惠价格：1270元p>特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

骨关节科
西宁治疗白斑病费用
渭南治疗白斑病费用
藤黄健骨丸治颈椎病效果如何