'ǝɯɐu$ ıɥ

Warum Bilder nicht geparst werden dürfen, hat Martin kürzlich eindrucksvoll gezeigt. Spätestens wenn ich ein Tool gefunden habe oder aber meines fertig bekommen habe, das derartig präparierte Bilder erzeugen kann, geht auch der Artikel weiter, allerdings ohne das Tool zu veröffentlichen.

Schau dir das mal an, dieses Bilder-Upload-Script hat eine fiese Sicherheitslücke:

Die Sicherheitslücke beruht auf einem Fehler in der Datei processing.php. Diese ermöglicht das Hochladen von Dateien mit mehreren Dateiendungen in einem Ordner innerhalb des Web-Root.
Dies kann dazu ausgenutzt werden, um z. B. das Ausführen von beliebigem PHP-Code durch Hochladen einer speziell gestalteten PHP-Skript, welches eine “GIF magic number” enthält.
Quelle: http://www.webichserheit.org/?p=7510

ssnɹƃ
ʍopɐɥs