我试图从安全的角度来了解什么是最糟糕的情况,从模糊的第三方网站嵌入图像的损害或后果。具体来说,第三方可以利用哪些技术访问权限?以HTML格式嵌入第三方图像的安全隐患
例如,用户帖子的图片URL,然后将图像直接嵌入像这样的网站:
<img src="http://www.site-thats-not-mine.com/image.jpg">
据我所知,图像可能是恶意的,甚至可以说,它是不是一个真正的图像,但是由于这个原因,他们能做的最糟糕的是什么?这也不是一种不常见的做法。
例如,图像文件可以通过特殊方式制作,以利用浏览器或图像库中的错误来攻击访客机器。
其他可能出现的问题 - 远程站点关闭或图像消失。或者,而不是可爱的花卉图像您的网站将有一天开始显示兽性p0rn ...它更好地服务自己的内容:)
可能发生的最糟糕的事情是什么?
我会说:宇宙可能会爆炸。 (尽管我不确定这是否会是件坏事...)
不,这意味着一种严肃但有些夸张的方式:因为不可能知道存在或可能存在的所有可能的漏洞利用发展起来,正式地不可能限制最糟糕的可能结果。这个问题不能得到认真回答。您可能想重新考虑您的问题。
通常,最糟糕的是它可以做的是跟踪最终用户。可以使用与图像请求一起发送的任何标题来保存图像最终用户的数据库。它可以做的另一件坏事是更改 - 如果图像被移除或服务器关闭,可能会导致网站上的图像损坏;如果图片被替换为其他内容,则可能会导致类似的问题(甚至可能存在法律问题 - 例如,如果图片恶意替换为欺骗网站最终用户的意图)。
也有浏览器漏洞利用考虑,但这些不是一般问题。