IE驚現(xiàn)解析圖片漏洞 可引發(fā)掛馬及跨站攻擊

筆者得到消息后前往多個(gè)論壇實(shí)驗(yàn)，均可成功上傳這種偽造的GIF圖片。隨即咨詢了動(dòng)網(wǎng)論壇高級(jí)工程師焦崧源(雨·漫步)，他講到：圖片中隱藏的HTML代碼會(huì)被執(zhí)行并非論壇或博客程序?qū)е碌穆┒?，可能是部分瀏覽器在解析圖片時(shí)出現(xiàn)了問(wèn)題，這個(gè)問(wèn)題可能導(dǎo)致別有用心的人使用發(fā)論壇貼圖的形式惡意引導(dǎo)其他網(wǎng)友訪問(wèn)某一個(gè)站點(diǎn)或掛馬，嚴(yán)重的甚至可能導(dǎo)致跨站攻擊或盜取cookies等危險(xiǎn)。目前動(dòng)網(wǎng)已經(jīng)提供了針對(duì)此問(wèn)題的解決方案，通過(guò)對(duì)上傳的圖片文件進(jìn)行詳細(xì)信息驗(yàn)證以確定此圖片是否為偽造。

 
雨·漫步通過(guò)其blog向筆者演示其偽裝后的GIF圖片示例
 

 
火狐內(nèi)核的瀏覽器則不會(huì)執(zhí)行

 截至發(fā)稿時(shí)，并沒(méi)有聽(tīng)說(shuō)因此次漏洞造成較大規(guī)模的攻擊事件。由于影響不嚴(yán)重，包括社區(qū)軟件供應(yīng)商Discuz方面暫時(shí)未對(duì)此問(wèn)題做出響應(yīng)。但筆者對(duì)Discuz 6.0程序進(jìn)行測(cè)試，發(fā)現(xiàn)只要偽造時(shí)稍加改造便可繞過(guò)其驗(yàn)證進(jìn)行上傳。

這應(yīng)該是IE一個(gè)漏洞，但仍希望能引起相關(guān)CMS廠商和站長(zhǎng)的注意，以免自己的網(wǎng)站被不法份子利用，造成不必要的損失。