스크립트 언어를 숨긴 이미지 파일을 업로드해서 원격 실행되도록 하는 공격

2007년에 유명해진 보안 문제 하나를 기록해 둔다.

스크립트 언어를 숨긴 이미지 파일을 업로드해서 원격 실행되도록 하는 공격이다.
http://japan.cnet.com/news/sec/story/0,2000056024,20351284,00.htm
http://www.itmedia.co.jp/enterprise/articles/0706/20/news024.html

우선 현상 설명에 관한 자료이다. (일본어)
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
http://www.tokumaru.org/d/20071210.html#p01

아래는 예방책을 적어둔 글들이다.

http://blog.ohgaki.net/c_ra_a_a_ia_ca_la_lphpa_sa_fa_a_a_a_effa
http://blog.ohgaki.net/a_sa_ma_oa_a_a_ca_sa_ma_la_fa_a_ei_a_ran
http://www.1x1.jp/blog/2007/06/php_exploite_code_in_gif.html
http://rockstock2008.blog17.fc2.com/blog-entry-9.html

댓글 쓰기

CAPTCHA
스팸방지를 위해 아래에 보이는 영문/숫자를 입력해 주세요.
Image CAPTCHA
Enter the characters shown in the image.