Загрузка изображения Безопасность - профиль пользователя

Question

мы должны реализовать профиль профиля пользователя Загрузка изображения в нашем веб-приложении. пользователь может загрузить изображение своего профиля.

после загрузки изображения он будет сохранен в DB2 DB .. и будет отображаться только пользователю, загрузившему изображение после входа в систему. Технологический стек -> J2EE, AIX, DB2.

у нас возникла странная жалоба нашего отдела безопасности на то, что эту функцию нужно удалить, поскольку пользователь может загрузить вирус, и это заразит сервер!

Я не понимаю, как пользователь загрузит вирус, в конце концов, вирус - это программа, которая должна быть выполнена, правильно? Вторая вещь - платформа UNIX-AIX ,,, даже если пользователь загрузил вредоносное ПО, сервер не будет заражен, верно? Последнее, что есть вероятность, что пользователь будет заражен XSS в случае, если файл JS загружен вместо изображения, но я вижу, что это в нашем случае недействительно, потому что только пользователь может загрузить изображение, и он будет отображаться только пользователю ..

Я понимаю, что это правильно?

Answer 1

Нет, на самом деле можно скрыть исполняемый код в файлах изображений. И когда пользователь отображает изображение, в зависимости от конфигурации сервера может быть возможно, что код внутри изображения может быть выполнен. Смотрите, например http://hackaday.com/2014/11/15/hiding-executable-javascript-in-images-that-pass-validation/ И поиск в гугле для GIF исполняемого файла, PNG исполняемого и т.д.

Я видел доказательство концепций, которые позволяют запускать окна исполняемых файлы, как этот http://www.codeproject.com/Articles/9791/Hiding-EXE-Data-Within-GIF-Data, пакетные команды и другие вещи для Linux (даже ют - fr *), php-код и многие другие.

Вам необходимо либо проверить изображение, либо убедиться, что изображение преобразуется в безопасный формат, прежде чем он будет отображаться.