9406307b4...5b8.jpg, 0.87 KB, x, exif ggl iq id3

ImageTragick тестируешь?

Работает?

>>9Cr
Здесь нет, но на одной другой борде работает. Вам все-таки стоило бы исправить парсинг картинок, т.к. загрузка файлов без проверки - само по себе уязвимость.

> загрузка файлов без проверки
Какую конкретно проверку ты имеешь в виду? На соответствие содержимого файла его расширению, чтобы анон не скачал себе подозрительный файл на компьютер и не открыл чем-нибудь уязвимым? Или речь об уязвимости, опасной для сервера?

>>9Cu
>На соответствие содержимого файла его расширению, чтобы анон не скачал себе подозрительный файл на компьютер и не открыл чем-нибудь уязвимым?
Дело не только в том, что анон может скачать файл, но еще и в том, что в этом файле может быть запрятан JS, на который заманив анона, можно его выполнить в контексте домена, т.е. иметь доступ к печенькам, локал стореджу и.т.д. При этом JS может отображать картинку как ни в чем ни бывало, т.е. люди даже и не заметят, что там что-то не так.

А вообще, почитай OWASP, я сам то впервые на чужой сервер залез и сейчас стараюсь не обоссаться от страха.

>>9Cv
Как инъекцию делал? Конверт mvg/png?