在 GIF 图片中的 PHP 代码利用漏洞

Question

3

我需要知道如何使用php代码生成一个GIF，或者如何修改一个GIF以添加代码，这样我就可以在WordPress中测试我们的头像上传插件，确保其安全性。如果有人已经有了一个测试图像，我可以打开查看代码或进行修改吗？

- Chris

1

这不是防止漏洞的好方法。与其如此，检查您包含的方式（例如，使用文件名作为参数来包含不是最佳实践），并确保用户输入得到适当验证。然后您就不必（而且实际上也不能）检查用户可能上传的所有内容了。 - Mikulas Dite

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- rook · Accepted Answer

在LFI to RCE exploit中，您需要添加一个包含PHP代码的元标记。当二进制文件被包含时，PHP将查找<?php ?>并执行其中的代码。