Amazon web services 在Amazon S3中上载带有恶意代码的图像_Amazon Web Services_Security_Image Processing_Amazon S3

Amazon web services 在Amazon S3中上载带有恶意代码的图像

amazon-web-services security image-processing amazon-s3

Amazon web services 在Amazon S3中上载带有恶意代码的图像,amazon-web-services,security,image-processing,amazon-s3,Amazon Web Services,Security,Image Processing,Amazon S3,我有一个定制的php web应用程序，用户可以在其中上传图像。我知道图像文件存在安全问题，因为黑客可以向图像文件添加恶意代码，并通过图像文件的url触发它们因此，我不再将图像存储在web服务器中并直接上传到AmazonS3中。我想知道，即使图像文件存储在像AmazonS3这样完全独立的地方，黑客是否仍有可能通过恶意图像获得相同的结果如果您将文件上载到S3中，那么就不必担心服务器端的漏洞（如RCE），因为它是一个不会执行的对象存储，但您需要注意客户端漏洞（如XSS）。。。 i、例如，即使在

我有一个定制的php web应用程序，用户可以在其中上传图像。我知道图像文件存在安全问题，因为黑客可以向图像文件添加恶意代码，并通过图像文件的url触发它们

因此，我不再将图像存储在web服务器中并直接上传到AmazonS3中。我想知道，即使图像文件存储在像AmazonS3这样完全独立的地方，黑客是否仍有可能通过恶意图像获得相同的结果

如果您将文件上载到S3中，那么就不必担心服务器端的漏洞（如RCE），因为它是一个不会执行的对象存储，但您需要注意客户端漏洞（如XSS）。。。

i、例如，即使在您上传图像的情况下，攻击者也不能通过利用不受限制的文件上传直接损害服务器端设置，但他可以将客户端脚本嵌入图像并利用。。。正如@dy10所提到的，设置适当的内容类型将有助于…

如果您将文件上载到S3，那么就不必担心服务器端的漏洞（如RCE），因为它是一个不会执行的对象存储，但您需要注意客户端的漏洞，如XSS。。。

如何从图像文件的URL触发代码？他们可以将脚本存储为具有图像扩展名的文件，然后运行脚本，但如果代码通过

IMG

标记引用图像，则不会执行代码。请您澄清您的担忧，最好是参考对该漏洞的解释？@JohnRotenstein我很确定他说的是内容类型嗅探，您可以在图像中嵌入代码，web浏览器将查看第一个字节，如果它认为这是代码，然后它会假设它是代码并执行其内容。在较高级别上，有两种类型的图像漏洞，服务器端和客户端。在服务器端，黑客利用了imagemagick等软件中的漏洞，无论您将图像存储在何处，只要您处理图像，服务器就会受到攻击。在客户端，如果您仅提供具有适当内容类型的图像，则通常会出现浏览器漏洞。验证您的输入文件并保持您的服务器软件和库的补丁。如何从图像文件的URL触发代码？他们可以将脚本存储为具有图像扩展名的文件，然后运行脚本，但如果代码通过

IMG

标记引用图像，则不会执行代码。请您澄清您的担忧，最好是参考对该漏洞的解释？@JohnRotenstein我很确定他说的是内容类型嗅探，您可以在图像中嵌入代码，web浏览器将查看第一个字节，如果它认为这是代码，然后它会假设它是代码并执行其内容。在较高级别上，有两种类型的图像漏洞，服务器端和客户端。在服务器端，黑客利用了imagemagick等软件中的漏洞，无论您将图像存储在何处，只要您处理图像，服务器就会受到攻击。在客户端，如果您仅提供具有适当内容类型的图像，则通常会出现浏览器漏洞。验证输入文件并保持服务器软件和库的补丁。