私はユーザーがアップロードしたイメージについて話しています。これらの画像は安全でなく、スクリプトなどを含むことさえあります。私はイメージを実行しない限り、私はうまくいくはずだと言われました。イメージを実行すると正確に何を考えますか?ユーザーが.pngをアップロードし、それを表示する前に.jpgに変換する必要がある場合、この変換は画像の実行とカウントされますか。イメージカウントを実行中に変換していますか
1
A
答えて
2
ライブラリを使用するライブラリを使用すると、セキュリティ上のリスクになる唯一の方法はライブラリ自体の問題です。例えば。ライブラリーにバッファーオーバーフローのセキュリティー問題がある場合、イメージを読み取る単なるプロセスで潜在的にイメージに隠れたコードを実行させる可能性があります(イメージはイメージではなくなり、コードに変換されます)。
標準ライブラリを使用する場合、そのようなセキュリティホールの可能性はかなり低いです。しかし、ゼロではありませんが、私はあなたの生活の中でデジタル写真を見ていなくても、どちらかと一緒に生活しなければならないと思います。
1
イメージを変換するために使用されるツールが悪用される脆弱性がない限り、それを変換する行為には実行が含まれません。
0
あなたが好きなだけイメージ変換処理を信頼することができますが、データを処理するだけで脆弱になる可能性があるというリスクがあります。重要な場合は、他の手順でイメージ処理ステップを分離することができます。
あなたはそのステップを別のマシンに置くことができます。そのため、妥協しても、悪質なコードは公開されているサーバーに置かれません。また、そのプロセスを別のユーザーとして実行することもできます。そのため、サービスを危険にさらすために特権を昇格させる必要があります。
関連する問題
- 1. XSLTからXQuery変換を実行しています
- 2. decimalに変換して実行OrderBy
- 3. 実行時にメソッド名をBean名に変換しますか?
- 4. これをcronとして実行するには変換しますか?
- 5. Ruby gemの中でrailsアプリケーションを実行していますか?
- 6. 実行中のワークフローのリストを取得していますか?
- 7. Webセットアッププロジェクトの実行中/実行後にWeb.configを変更します。
- 8. Java:href属性に基づいてXSLT変換を実行できますか?
- 9. アプリが実行中にAppleIDを要求しています
- 10. 生産中にLiftWebを実行しています
- 11. Netbeans 6.5:実行/デバッグ/テスト中に環境変数を変更しますか?
- 12. 実行時にCABasicAnimationのsetvalueを変更していますか?
- 13. 実行中にコンテキストクラスローダーを変更する
- 14. MSBuild - 一度にすべての設定変換を実行し、他のファイルを変換します。
- 15. バックグラウンドでsshコマンドを実行中のスクリプトを実行しています
- 16. 実行ファイルとしてEARを変換するには?
- 17. hg convertは実際に変換していませんか?
- 18. JBoss上で実行中のEclipseLinkを使用して、実行時にJPAスキーマを変更します
- 19. ユニコードを実際のキャラクタCに変換しています。
- 20. WPFでカスタムコンバータを使用しているときに強制的に変換を実行しますか?
- 21. テーブルのサブセットにHive変換スクリプトを実行します。
- 22. いくつかの変換を実行してデータベーステーブルを移動する - SSIS
- 23. クエリの実行中に変更する
- 24. QTestLibは、実行中にテストしているGUIを表示できますか?
- 25. は、実行中のEC2マシンを停止しています
- 26. Pythonで実行中のコマンドを終了しています
- 27. 実行中のプロセスのdllパスを取得しています
- 28. 実行時にモードレスダイアログをモーダルに変換
- 29. web.config変換を使用して「置換または挿入」を実行する方法はありますか?
- 30. Linuxで実行中の実行ファイルを置き換える