最近发现Flash vulnerability,当有人上传Flash文件或嵌入了flash的文件(例如,gif重载)时,可能会发生恶意攻击。
根据文章,即使是简单的图像也可能被劫持。
在php中,检查文件类型的典型方法是扩展名和mime-type。
使用图像的简单示例,php将如何正确地审查文件(如文章中所推荐的)。 Mime类型可以欺骗,也可以扩展,如果文件是捎带的,那么解决方法是什么?
答案 0 :(得分:1)
对于图像的情况,您需要将整个数据验证到文件中:意味着您需要打开图像,查看是否是有效类型,识别与文件类型对应的所有数据块,然后删除其余的如果有的话。
一种选择是使用GD重新保存您的图片,或者尝试删除文件末尾的字节,并查看图片是否仍然有效(再次使用GD)。当然,您可能会尝试验证那些您认为可疑的文件,例如,如果您检测到SWF标题(或全部,如果您想要变得偏执)。
答案 1 :(得分:0)
寻找SWF header。
更好的是,寻找您期望资源的文件类型的真实性。换句话说,如果扩展名和mime类型告诉您它应该是JPEG图像,并且您确认允许该类型的文件,请查找JPEG header。