根据SANS研究院互联网风暴中心(ISC)的一篇博客文章介绍,PHP漏洞代码在GIF文件开始部分合法图像的帮助下可以简单的逃过网站的防御。SANS安全博客写到“这是传递漏洞代码到其它地方的一种精明的方法,通过旁路网络安全工具根本不会引发警报或引起注意。”
恶意攻击者可以将PHP漏洞代码植入一个图形文件中。PHP是经常用来开放动态网站的一种编程语言。
SANS研究院首席研究员Johannes Ullrich说到:“一旦这种类型的恶意GIF文件被上传到服务器后,通过远程在该系统上部署更多的漏洞代码可能会造成严重的破坏。”
当用户下载并浏览图片时,服务器解析PHP代码然后漏洞代码就会被执行。
Ullrich表示,在过去的六个月中,这种技术突然出现时主要发生在小型家庭网站上,最近更多的发生在大型图片库网站上。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
在云中添加安全管理控制层
企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。
-
难以避免的泄漏事故:怎么解?
网络安全泄露事故不可避免?如果遭遇网络安全泄露事故不可避免,如果真的不可能阻止泄露事故,那么,试图保护信息和信息系统是不是浪费时间和金钱?
-
合理分析恶意软件:用对方法很重要
以正确的顺序实施多种分析方法可以使安全团队更有可能防止恶意软件渗透进入网络,甚至对于以前并没有被确认的恶意软件样本也能够起作用……
-
“智进”方能“御远” :2017 C3安全峰会蓄势启航
中国最高规格、备受全球网络安全从业者关注的2017年C3安全峰会将于7月6日至7月7日在成都世纪城会展中心召开。