图片插入漏洞 #165

Closed
huacnlee opened this Issue Mar 27, 2013 · 8 comments

Comments

Projects
None yet
5 participants
@huacnlee
Owner

huacnlee commented Mar 27, 2013

![test](http://ruby-china.org/account/sign_out?a.png)

比如,当某人在 Markdown 里面写这么一段,进入那个页面的时候就会登出

@greatghoul

This comment has been minimized.

Show comment Hide comment
@greatghoul

greatghoul Mar 27, 2013

这个有意思!

这个有意思!

@huacnlee

This comment has been minimized.

Show comment Hide comment
@huacnlee

huacnlee Mar 27, 2013

Owner

当然,将 sign_out 方法改为非 GET 请求是必要的,但是此处是否还应处理一下对于非图片的请求?

Owner

huacnlee commented Mar 27, 2013

当然,将 sign_out 方法改为非 GET 请求是必要的,但是此处是否还应处理一下对于非图片的请求?

@greatghoul

This comment has been minimized.

Show comment Hide comment
@greatghoul

greatghoul Mar 27, 2013

在人人网试了下,果然也可以,可以大部分网站都会被这样的漏洞搞趴。

在人人网试了下,果然也可以,可以大部分网站都会被这样的漏洞搞趴。

@aptx4869

This comment has been minimized.

Show comment Hide comment
@aptx4869

aptx4869 Mar 27, 2013

刚又去试了一下,

![test](javascript:alert('yo'\))
![test](javascript:alert('yo'\);)

这两个没能过滤掉,可能对IE6有影响

至于 http://path?a.png 这样的路径不好判断是不是图片吧,有些站单的图片就是包含?token=之类什么的吧……
而用图片伪造请求只能伪造get方法,只要目标站点有csrf防范,不把get当作post使用都问题不大

刚又去试了一下,

![test](javascript:alert('yo'\))
![test](javascript:alert('yo'\);)

这两个没能过滤掉,可能对IE6有影响

至于 http://path?a.png 这样的路径不好判断是不是图片吧,有些站单的图片就是包含?token=之类什么的吧……
而用图片伪造请求只能伪造get方法,只要目标站点有csrf防范,不把get当作post使用都问题不大

@huacnlee

This comment has been minimized.

Show comment Hide comment
@huacnlee

huacnlee Mar 27, 2013

Owner

@aptx4869 所以说,像 Github 这样强制将贴出下载到自己服务器用自己的 URL 代替就很靠谱

Owner

huacnlee commented Mar 27, 2013

@aptx4869 所以说,像 Github 这样强制将贴出下载到自己服务器用自己的 URL 代替就很靠谱

@ashchan

This comment has been minimized.

Show comment Hide comment
@ashchan

ashchan Mar 27, 2013

Member

嗯,个人认为这个的问题不在 markdown filter 上,而在目标 URL 的行为上。

Member

ashchan commented Mar 27, 2013

嗯,个人认为这个的问题不在 markdown filter 上,而在目标 URL 的行为上。

@aptx4869

This comment has been minimized.

Show comment Hide comment
@aptx4869

aptx4869 Mar 31, 2013

@huacnlee Github没有强制下载图片吧,好像直接用markdown贴出来的url还是原始url啊,像这样:
Code Climate

@huacnlee Github没有强制下载图片吧,好像直接用markdown贴出来的url还是原始url啊,像这样:
Code Climate

@samqiu

This comment has been minimized.

Show comment Hide comment
@samqiu

samqiu May 27, 2013

@huacnlee GitHub将资源下载下来应该是为了将所有请求都变成HTTPS,不然页面会警告 含有不安全内容

samqiu commented May 27, 2013

@huacnlee GitHub将资源下载下来应该是为了将所有请求都变成HTTPS,不然页面会警告 含有不安全内容

@huacnlee huacnlee closed this Oct 16, 2013

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment