Actualités
Image pour le titre du contenu
Jeremiah Grossman publie la liste des 10 meilleurs (et des 80 candidates) au titre de vulnérabilité de l'année. Flash et PDF, avec leur caractère universel, finissent en haut de la liste, avec les honneurs. Bien classé, il y a les vulnérabilités dans les images, les spams sur imprimante (sur papier, quoi), les scans de port sans Javascript.

PHP est cité pour un scan interne via l'ouverture de fichiers à distance, et getimagesize qui accepte des images contenant du code PHP. Ce dernier point est délicat : le format GIF inclut une taille des données utiles, et le reste est ignoré. PHP accepte ce standard et il n'est donc pas possible de valider une image avec getimagesize. Si getimagesize échoue, on sait que ce n'est pas une image, mais si getimagesize marche, on ne peut pas conclure que c'est une image : cela peut être une image et autre chose.

Commentaires

Vous pouvez ajouter votre commentaire!


Vous devez vous connecter pour commenter