网络安全科普问答(网络安全科普贴之)
网络安全科普问答(网络安全科普贴之)从网上抓一张照片exiftool 和 jhead都有document,如果感兴趣可以自己翻一下,内容惊人!爆炸的那种:)检查照片的技术手段,也常常用在insecure upload里面,在照片里注入代码。作为一种网站的攻击手段,通过在照片(未必是照片,也可以是代码修改后缀)里加入奇怪的代码,然后获取一些奇怪的好处:)Insecure upload是cyber security里的一项重要vulnerability,现在一般的技术手段是列一个白名单,但是我们cybersecurity大魔王教的做法是利用random name,这样无论你后缀是什么,也不怕你拦截修改之后再上传,用这个方法可以说是改的很彻底。首先,先上一个神器 :exiftool/jhead,可以用command line下载
事情的起因是这样的,昨天刷微博的时候看到这样一条:
那么,照片到底是什么时候照的?在哪照的?什么时间?用的什么照的?
最重要的是,她的男票(这种人也配当男票系列)说谎了没?
检查照片的技术手段,也常常用在insecure upload里面,在照片里注入代码。作为一种网站的攻击手段,通过在照片(未必是照片,也可以是代码修改后缀)里加入奇怪的代码,然后获取一些奇怪的好处:)
Insecure upload是cyber security里的一项重要vulnerability,现在一般的技术手段是列一个白名单,但是我们cybersecurity大魔王教的做法是利用random name,这样无论你后缀是什么,也不怕你拦截修改之后再上传,用这个方法可以说是改的很彻底。
首先,先上一个神器 :exiftool/jhead,可以用command line下载
exiftool 和 jhead都有document,如果感兴趣可以自己翻一下,内容惊人!爆炸的那种:)
从网上抓一张照片
对比一下exiftool 和 jhead:
?的截图并没有截完整,继续下翻:
以及设备名称和型号:)
今天看你男朋友手机了吗?
