アップロードの怖さ

テーマ ・ プライベート♪ カテゴリ ・ 脆弱性メモ #732
さて、このブログサービスでは各所で画像などのアップロードが出来ます。

それは素敵な事なのですが、画像などにはメタデータとして様々な情報を入力しておくことが可能です。
間違って、その情報(文字列です)がプログラムのしゃくに障るようなものであったら、どうなってしまうでしょう。
最悪、バッファオーバーフローしてブラウザが落ちる、コンピュータがクラッシュしてしまうなどの危険も伴います。
また、このブログでは有る程度のファイルチェックを行なっているみたいですが、危険なファイルがチェックを通過してアップロードされてしまったら、そしてそれが原因でここのユーザのコンピュータにウイルスが…

などという危険性(他にも有りますが)が存分に含まれています。
対策をお願いしたいところです。

有名なはてなのブログサービス、はてなダイアリーでは脆弱性に対しての対策をリストアップした記事があります。参考までに。
はてなダイアリーXSS対策

コメント1

  • お疲れぷろぐらま
    あばばば は本文に入れたのか・・ プロフィールは入れられんようにしたが、本文もScriptは禁止すべき? 特定キーワードを禁止すべきとしたら、そのキーワードを列挙して教えてくれないかな? 一人で作ってるから時間ないのよw