PHP漏洞代碼可以自我植入GIF文件中

根據SANS研究院互聯網風暴中心(ISC)的一篇博客文章介紹，PHP漏洞代碼在GIF文件開始部分合法圖像的幫助下可以簡單的逃過網站的防禦。SANS安全博客寫到「這是傳遞漏洞代碼到其它地方的一種精明的方法，通過旁路網絡安全工具根本不會引發警報或引起注意。」

惡意攻擊者可以將PHP漏洞代碼植入一個圖形文件中。PHP是經常用來開放動態網站的一種編程語言。

SANS研究院首席研究員Johannes Ullrich說到：「一旦這種類型的惡意GIF文件被上傳到服務器後，通過遠程在該系統上部署更多的漏洞代碼可能會造成嚴重的破壞。」

當用戶下載並瀏覽圖片時，服務器解析PHP代碼然後漏洞代碼就會被執行。

Ullrich表示，在過去的六個月中，這種技術突然出現時主要發生在小型家庭網站上，最近更多的發生在大型圖片庫網站上。

註: 本文轉載自網路 非原創

轉載自 51CTO.COM  原文