我試圖從安全的角度來了解什麼是最糟糕的情況,從模糊的第三方網站嵌入圖像的損害或後果。具體來說,第三方可以利用哪些技術訪問權限?以HTML格式嵌入第三方圖像的安全隱患
例如,用戶帖子的圖片URL,然後將圖像直接嵌入像這樣的網站:
<img src="http://www.site-thats-not-mine.com/image.jpg">
據我所知,圖像可能是惡意的,甚至可以說,它是不是一個真正的圖像,但是由於這個原因,他們能做的最糟糕的是什麼?這也不是一種不常見的做法。
我試圖從安全的角度來了解什麼是最糟糕的情況,從模糊的第三方網站嵌入圖像的損害或後果。具體來說,第三方可以利用哪些技術訪問權限?以HTML格式嵌入第三方圖像的安全隱患
例如,用戶帖子的圖片URL,然後將圖像直接嵌入像這樣的網站:
<img src="http://www.site-thats-not-mine.com/image.jpg">
據我所知,圖像可能是惡意的,甚至可以說,它是不是一個真正的圖像,但是由於這個原因,他們能做的最糟糕的是什麼?這也不是一種不常見的做法。
例如,圖像文件可以通過特殊方式製作,以利用瀏覽器或圖像庫中的錯誤來攻擊訪客機器。
其他可能出現的問題 - 遠程站點關閉或圖像消失。或者,而不是可愛的花卉圖像您的網站將有一天開始顯示獸性p0rn ...它更好地服務自己的內容:)
可能發生的最糟糕的事情是什麼?
我會說:宇宙可能會爆炸。 (儘管我不確定這是否會是件壞事...)
不,這意味着一種嚴肅但有些誇張的方式:因爲不可能知道存在或可能存在的所有可能的漏洞利用發展起來,正式地不可能限制最糟糕的可能結果。這個問題不能得到認真回答。您可能想重新考慮您的問題。
通常,最糟糕的是它可以做的是跟蹤最終用戶。可以使用與圖像請求一起發送的任何標題來保存圖像最終用戶的數據庫。它可以做的另一件壞事是更改 - 如果圖像被移除或服務器關閉,可能會導致網站上的圖像損壞;如果圖片被替換爲其他內容,則可能會導致類似的問題(甚至可能存在法律問題 - 例如,如果圖片惡意替換爲欺騙網站最終用戶的意圖)。
也有瀏覽器漏洞利用考慮,但這些不是一般問題。