画像ファイルに PHP コードを埋め込む攻撃は既知の問題

(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記：Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃

[itochan]

読んだ感想だけ。（バリデーション神が、エスケープし忘れとかありえない）

[soulja_boy]

誰でも画像アップロード出来るフォームは、設置箇所のphp実行制限や、バイナリ内のコードチェック、フォーマット変換によるウイルスチェックが必要。

[masa_wd_1982]

PHP勉強用

[webmarksjp]

セキュリティ

[ya--mada]

コメント長

[bull2]

昔、画像データの後ろにzipを埋め込む、みたいなのがあったことを思い出した

[terracken]

[[*security]][*php]

[lockcole]

ローカルファイルインクルードのバグを突いた攻撃に対する，画像ファイルアップロード側の対策。画像の形式変換(GIF→PNG→GIF)，ファイルの圧縮，適切な正規表現での<?タグ発見など。

[ag-commerce]

PHPのケースだけ考えるのであれば、正規表現関数で"<?php"を検索するのも有効です。（ASP, ショートタグを有効にしている場合はこれらのタグも）ただし、正規表現には注意が必要です。

[adamrocker]

画像ファイルにPHPコードを埋め込みローカルファイルインクルードのバグがあるサイトを探しアップロードする。そういう脆弱性。

[hiro_y]

画像ファイルにPHPを埋め込む件、ローカルファイルインクルードバグとの組み合わせ。

[yagitoshiro]

NULL文字

[const]

short tag対策を含めれば高確率で残念な思い

[usj12262]

なぜpreg_matchで不十分なのかわからない。不勉強/イメージデータの最後が改行文字だとpreg_matchがいつも1を返してしまう模様(http://www.phppro.jp/news/359)。このことかな

[oooooooo]

GIFファイルのアップロードならGIF->PNG->GIFと変換します。変換の過程で攻撃コードは削除されます / 、正規表現関数で"<?php"を検索するのも有効 / if (mb_eregi('<?php', $image)) {

[C_L]

「なぜ後者が不十分かは常識ですよね?」→phpしらん人間が非常識と言いたいみたいだね

[mi1kman]

参考．http://www.cgisecurity.com/2007/06/16

[TAKESAKO]

アニメーションGIFはどうするんだろうか？そこまで考えてない？