转载

图像处理网站藏漏洞,也许你上传的图像全落入黑客之手

  近日包括 imageMagick 在内的众多在线图片处理网站爆出漏洞,黑客可以在上传的图片中暗含恶意代码,图片上传到服务器后即可获得服务器控制权。

  该漏洞被标示为 CVE-2016-3714,最早由一家 CDN 分发平台发现,研究人员表示,该文件伪装成 JPG 图片,但实际上并不是图片,而是一段恶意代码,上传到服务器后会下载一段 python 脚本,然后在该服务器执行脚本,最终完全获得服务器的控制权。黑客可以利用此漏洞获取到你上传到网站的图片,以及你的注册资料等隐私信息。

  来自 Sucuri 安全咨询公司的研究员表示,他们成功检测到黑客尝试在宿主服务器安装间谍软件,其中一个 IP 源为 Linode 服务器,黑客使用的 HTTP 请求来自一个台湾的 IP 地址。

  目前,除了网站安全监测公司提示风险,imageMagick 等其他在线图片处理应用均未对此作出回应。

正文到此结束
Loading...