ImageTragick: Payload thực sự dùng để hack trang web

Tuần vừa qua rất nhiều lỗ hổng được công bố trong phần mềm xử lý ảnh nổi tiếng, ImageMagick. Những lỗ hổng này nhanh chóng được đặt tên là ImageTragick. Mặc dù một lỗ hổng trong phần mềm xử lý ảnh trông có vẻ không phải là một vấn đề đối với chủ sở hữu trang web nhưng thực tế nó chính là một vấn đề bảo mật đáng quan tâm.

Rất nhiều trang web cho phép người dùng tải lên những hình ảnh và thường xử lý các hình ảnh này bằng cách sử dụng phần mềm như ImageMagick. Ví dụ, nếu bạn tải một bức ảnh cá nhân để sử dụng như một ảnh đại diện, nó sẽ thường được thay đổi kích cỡ bởi trang web. ImageMagick rất phổ biến và có các plugin làm nó dễ dàng sử dụng với PHP, Ruby, Node.js và các ngôn ngữ khác vì thế nó thường dùng cho các trang web trong việc thay đổi kích cỡ hoặc crop ảnh.
Read More