PHP組み込み関数getimagesize()の脆弱性

WBOY
リリース: 2016-06-23 13:18:54
オリジナル
1562 人が閲覧しました

今日、プログラムはいくつかの画像を圧縮し、画像の幅と高さを取得したいと思ったので、どの関数が使用できるかをインターネットで調べたところ、getimagesize() 関数を見つけました。しかし、この機能を見た同僚が、この機能は運用仲間には使用禁止であることを思い出させてくれました。とても不思議な気がしたのでネットで調べてみました。案の定、この機能の脆弱性が発見されました。

脆弱性情報
PHP は、サーバー側で実行され、HTML ドキュメントに埋め込まれるスクリプト言語です。
PHP の Getimagesiz 関数は、画像サイズを決定するために使用され、URI パラメーターを受け取ります。 Getimagesize() は、リモート サーバーからダウンロードされたファイルに画像があるかどうか、または予想よりも大きいかどうかを確認する関数を実装していません。これにより、PHP がダウンロードされる可能性があります。非常に大きなファイルであり、サービス拒否攻撃を引き起こします。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート