yohgaki's blog - 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 - 葉っぱ日記

土曜日は、普通の人なので普通のキャンプに行ったら普通以上に快晴だったので普通に河で泳いだりしてました。そんなどうでもよい話ははともかく。 今さらいうまでもないこと(と個人的には思っています)ですが、画像ファイルへのデータの埋め込みは、PHPのコードだけでなくHTMLやJavaScriptのコードなども埋め込むことができます。IEでそういったHTMLやスクリプトを埋め込んだ画像ファイルを開いた場合、Content-Type を無視してHTMLファイルであると判断することがあるため、XSSさせることができます。画像ファイルとして正しいデータを持たせつつスクリプトを埋め込むという方法を採ることで、 - ファイルの拡張子をチェックする - イメージ関数等を利用して画像の種類を判別する - ファイルヘッダを確認する - ファイル種別を判別するコマンドを利用するという検査を全て行ったとしても、検査を突

[cocoiti]

いまだに答えを見出せてない。

[yagitoshiro]

アニメーションGIFが問題なんだよなあ

[TAKESAKO]

【PHPのコードの埋め込みと異なり、IEのContent-Type無視についてはブラウザ側がきちんとContent-Typeに応じた処理をするように対応するべきだと思います。が、何度Microsoftに問い合わせても「仕様です」の回答ですので】