• 歡迎訪問奇跡の海網站,本站不上傳任何資源,所有資源均來自于網絡,歡迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下載資源為網絡上收集整理而來,并且以計算機技術研究交流為目的,版權歸原作者所有,僅供大家參考,學習,不存在任何商業目的與商業用途.
  • 本站系統鏡像均來自于官方原版,ed2k可視為P2P下載鏈接。所有操作系統默認均為試用版,如有正版密鑰可以有效激活,本站不提供任何激活和相關服務。

一張圖片黑掉你:對于在圖片中嵌入惡意程序的防范

網絡技術 奇跡の海 2年前 (2017-06-06) 407次瀏覽 已收錄 0個評論 掃描二維碼

印度Net-Square公司CEO、網絡安全專家Saumil?Shah最近發現了一種攻擊方式:攻擊者可以把惡意程序寫到一張普通的圖片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會被黑。

技術原理

Saumil?Shah把這種隱藏惡意程序命名為Stegosploit。那么這個程序的原理是什么呢?

該BUG來源于是一種Steganography技術,這種技術可以把信息隱藏到圖片中,Saumil?Shah利用這種概念,把代碼寫進圖片像素,然后通過html5的可遞交腳本的動態Canvas元素還原。

這個惡意代碼本質是圖片的代碼和Javascript腳本的混合,被稱之為IMAJS。黑客可以把代碼寫進JPG或者PNG格式的圖片中,除非把圖片放大仔細查看,否者一般情況下,肉眼很難發現圖片有問題。

黑客在圖片中寫了惡意程序,這個程序可以設計很多功能,比如下載和安裝間諜軟件等。然后把圖片上傳到網上,并把地址告訴你,當你在瀏覽器中查看這張圖片的時候,惡意程序就會被觸發,你的電腦就有可能被黑。

也就是說,如果這個漏洞被利用,那么在以后的日子里,圖片文件對我們來說已經不可信任了。

不過這種代碼也不是百分百能讓你中招,他只能作用于一些安全性較弱的瀏覽器或網站,并且這種帶有惡意程序的圖片不會出現在社交網站上,因為像Facebook等大社交網站,在上傳圖片的時候網站都會對其進行檢測,如有問題,則不能上傳。

5月28日,在2015?HITBSecConf?大會上Saumil?Shah為大家演示了如何在圖片中嵌入惡意程序并攻擊個人電腦的方法,目前看來這只是一個漏洞,應該很快就會被修復。

漏洞利用工具

來自freebuf的消息,作者在twitter上表示目前利用工具正在開發中,后面會公布。FreeBuf將保持關注。

一些疑問

FreeBuf小編@Linvex:

有人并不認為這是一個Exploit。從文中來看,攻擊者需要把圖片放在<script>標簽里面才能執行——這個漏洞早在13年就有人提過了,poc也早就有了,可以直接利用二進制寫入js到bmp中,然后瀏覽器執行。譯文可參考FreeBuf專欄作者@碳基體 mm 的文章(傳送門

不過當時要求是BMP,如果本文使用的技術是放在img標簽還能執行js或者shellcode就有意思了。

視頻演示


版權聲明:本站所有文章和資源使用CC BY-NC-SA 4.0協議授權發布 , 轉載應當以相同方式注明文章來自“SeaOMC.COM->一張圖片黑掉你:對于在圖片中嵌入惡意程序的防范!在下邊可以分享本文哦!
喜歡 (0)
[]
分享 (0)
奇跡の海
關于作者:
一個WordPress菜鳥!
發表我的評論
取消評論

表情 貼圖 加粗 刪除線 居中 斜體 簽到

Hi,您需要填寫昵稱和郵箱!

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
中国福利彩票36选7开奖结果