エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント3件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
yohgaki's blog - 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 - 葉っぱ日記
土曜日は、普通の人なので普通のキャンプに行ったら普通以上に快晴だったので普通に河で泳いだりしてま... 土曜日は、普通の人なので普通のキャンプに行ったら普通以上に快晴だったので普通に河で泳いだりしてました。そんなどうでもよい話ははともかく。 今さらいうまでもないこと(と個人的には思っています)ですが、画像ファイルへのデータの埋め込みは、PHPのコードだけでなくHTMLやJavaScriptのコードなども埋め込むことができます。IEでそういったHTMLやスクリプトを埋め込んだ画像ファイルを開いた場合、Content-Type を無視してHTMLファイルであると判断することがあるため、XSSさせることができます。画像ファイルとして正しいデータを持たせつつスクリプトを埋め込むという方法を採ることで、 - ファイルの拡張子をチェックする - イメージ関数等を利用して画像の種類を判別する - ファイルヘッダを確認する - ファイル種別を判別するコマンドを利用するという検査を全て行ったとしても、検査を突
2007/07/19 リンク