最近，一些网友通过伪造图片绕过各论坛的上传系统，从而将代码隐藏在图片文件中以获得执行。据悉，将HTML代码伪装成GIF图片后，浏览器在对其进行解析的时候会将其中隐藏的HTML或客户端脚本代码解释执行，但所幸的是服务器端脚本不会被执行。目前的大多数论坛、或博客等CMS系统均无法有效识别和阻止这种伪造的GIF文件上传。

　　笔者得到消息后前往多个论坛实验，均可成功上传这种伪造的GIF图片。随即咨询了动网论坛高级工程师焦崧源(雨·漫步)，他讲到：图片中隐藏的HTML代码会被执行并非论坛或博客程序导致的漏洞，可能是部分浏览器在解析图片时出现了问题，这个问题可能导致别有用心的人使用发论坛贴图的形式恶意引导其他网友访问某一个站点或挂马，严重的甚至可能导致跨站攻击或盗取cookies等危险。目前动网已经提供了针对此问题的解决方案，通过对上传的图片文件进行详细信息验证以确定此图片是否为伪造。

　　雨·漫步通过其blog向笔者演示其伪装后的GIF图片示例

　　火狐内核的浏览器则不会执行

　　截至发稿时，并没有听说因此次漏洞造成较大规模的攻击事件。由于影响不严重，包括社区软件供应商Discuz方面暂时未对此问题做出响应。但笔者对Discuz 6.0程序进行测试，发现只要伪造时稍加改造便可绕过其验证进行上传。

　　这应该是IE一个漏洞，但仍希望能引起相关CMS厂商和站长的注意，以免自己的网站被不法份子利用，造成不必要的损失。

相关新闻

·站长警惕:谨防伪造图片通过IE漏洞上传挂马
·18岁黑客开博卖病毒 扬言饿死杀毒软件商
·网络赌博一场抽头十几万 11名嫌疑人被起诉
·网银被盗第一案 银行担责90%
·《中国青年报》:穿马甲的网络暴力
·偷播欧洲杯,网站被罚数万元
·黑网站冒充券商内幕调查 受骗者投诉一年上千件

最新评论共有 1 位网友发表了评论

发表评论

评论内容：不能超过250字，需审核，请自觉遵守互联网相关政策法规。

用户名： 密码： 验证码： 匿名? 注册

热评文章

·搜搜问问抢不了百度知道的饭碗
·悬挂阿里妈妈会否被百度惩罚
·10个在线创建手机铃声的工具
·阿里妈妈是否是中小站长的救世主?
·用ASP实现论坛的UBB功能(二)
·台湾提供四川汶川地震灾区卫星图片
·分享我做网站常用的工具和常去的网站
·Google绿色专家质疑黑色背景网页节省资源
·网聚力量矜持是道专访聚吧站长欠情
·我的网络，我的团队:专访李文明
·随爱而行 专访湛蓝城堡三位女管理员
·百度新闻频道改版十天 流量止跌反弹翻了一
·色•戒•网络：均在欲望中纠缠
·访谈录 非主流巴士网站长球球快跑
·站长访谈：天道酬勤 青春有梦

最新图文

• 
  对一个上海劳务派遣企业
• 
  经济危机下网络营销至关
• 
  谷歌：让每个人都可以进
• 
  雅虎：曾经的香饽饽现在

站长学院　　网页设计 建站教程 图形图象 网络编程

制定完整的网站

中国企业网站的

偏词优化策略
地方门户网站受众群体分类及推
地方网站，亮出你的文化“剑”
地方性论坛如何发展？
安徽站长访谈第三期：务实服务
安徽站长访谈第四期：立足本地
地方网站的准备工作

地方网站如何推广 地方网站运营中常见问题及解决 地方性网站如何赚钱

• 
  PS抠图教程:一图多解上
• 
  Photoshop制作霓红效果
• 
  Photoshop照片修复技巧
• 
  Photoshop照片修复技巧

新闻线索

如果你有站长界人事变动、重组并购、变革技术出现，以及产品投诉等重要新闻线索，请告诉我们，我们会给予特别关注。
0631-3653338
站长中国编辑部
站长中国24小时新闻热线： 1356089008