base64 编码图像的安全问题
Security concerns with base64 encoded images
我有一个接受 base64 编码图像数据的 API,需要对数据进行解码,保存图像文件,然后从该图像创建缩略图。
我担心如果我在尝试创建缩略图之前没有正确验证 POST 负载的内容,恶意代码可能会被执行。
我目前的基本工作流程如下。是否有足够的验证表明我不需要担心安全性?我想我担心有人编码不好,然后当调用下面的图像函数之一时,互联网爆炸了。
<?php
$decodedImage = base64_decode($_POST["canvas"]);
if ($decodedImage === false) {
// Error out
}
$imageSizeValidation = getimagesizefromstring($decodedImage);
if ($imageSizeValidation[0] < 1 || $imageSizeValidation[1] < 1 || !$imageSizeValidation['mime']) {
// Error out
}
$tempFilePath = "/tmp/" . microtime(true) . "-canvas-web.jpg";
file_put_contents($tempFilePath, $decodedImage);
$originalWidth = $imageSizeValidation[0];
$originalHeight = $imageSizeValidation[1];
$newWidth = 49;
$newHeight = 49;
$scaleWidth = $newWidth / $originalWidth;
$scaleHeight = $newHeight / $originalHeight;
$scale = min($scaleWidth, $scaleHeight);
$width = (int)($originalWidth * $scale);
$height = (int)($originalHeight * $scale);
$xpos = (int)(($newWidth - $width) / 2);
$ypos = (int)(($newHeight - $height) / 2);
$oldImage = imagecreatefromjpeg($tempFilePath);
$newImage = imagecreatetruecolor($width, $height);
$background = imagecolorallocate($oldImage, 255, 255, 255);
imagefilledrectangle($newImage, 0, 0, $width, $height, $background);
imagecopyresampled($newImage, $oldImage, $xpos, $ypos, 0, 0, $width, $height, $originalWidth, $originalHeight);
imagedestroy($oldImage);
imagejpeg($newImage, "/path/to/new.jpg", 90);
imagedestroy($newImage);
最终没有得到任何答案,所以对于那些对我最终所做的事情感兴趣的人:
在对此进行更多调查之后,我发现我最担心的问题之一是使用内联 PHP、Ruby 等编码的有效图像文件。例如:具有以下内容的图像结束:
<?php phpinfo();
我最终获取了解码后的图像数据,并将其提供给 imagecreatefromstring(),然后通过 imagejpeg().
将图像保存到临时目录中
这似乎从原始图像数据中删除了任何编码的 PHP。那时我使用 getimagesize() 验证了保存图像的图像大小数据。假设当时一切都有效,我将图像移动到永久位置。
我改变的另一件事是,我没有使用基于静态字符串和 microtime() 的文件名,而是使用了哈希。
关于图像注入代码的问题,我发现这个 link 很有帮助:
https://www.owasp.org/index.php/Unrestricted_File_Upload
我还发现另一个 SO post 很有用,就总体思路而言:
Validating base64 encoded images
最后,下面这本书首先引起了我对图像和代码的关注:
http://www.apress.com/9781430233183
我有一个接受 base64 编码图像数据的 API,需要对数据进行解码,保存图像文件,然后从该图像创建缩略图。
我担心如果我在尝试创建缩略图之前没有正确验证 POST 负载的内容,恶意代码可能会被执行。
我目前的基本工作流程如下。是否有足够的验证表明我不需要担心安全性?我想我担心有人编码不好,然后当调用下面的图像函数之一时,互联网爆炸了。
<?php
$decodedImage = base64_decode($_POST["canvas"]);
if ($decodedImage === false) {
// Error out
}
$imageSizeValidation = getimagesizefromstring($decodedImage);
if ($imageSizeValidation[0] < 1 || $imageSizeValidation[1] < 1 || !$imageSizeValidation['mime']) {
// Error out
}
$tempFilePath = "/tmp/" . microtime(true) . "-canvas-web.jpg";
file_put_contents($tempFilePath, $decodedImage);
$originalWidth = $imageSizeValidation[0];
$originalHeight = $imageSizeValidation[1];
$newWidth = 49;
$newHeight = 49;
$scaleWidth = $newWidth / $originalWidth;
$scaleHeight = $newHeight / $originalHeight;
$scale = min($scaleWidth, $scaleHeight);
$width = (int)($originalWidth * $scale);
$height = (int)($originalHeight * $scale);
$xpos = (int)(($newWidth - $width) / 2);
$ypos = (int)(($newHeight - $height) / 2);
$oldImage = imagecreatefromjpeg($tempFilePath);
$newImage = imagecreatetruecolor($width, $height);
$background = imagecolorallocate($oldImage, 255, 255, 255);
imagefilledrectangle($newImage, 0, 0, $width, $height, $background);
imagecopyresampled($newImage, $oldImage, $xpos, $ypos, 0, 0, $width, $height, $originalWidth, $originalHeight);
imagedestroy($oldImage);
imagejpeg($newImage, "/path/to/new.jpg", 90);
imagedestroy($newImage);
最终没有得到任何答案,所以对于那些对我最终所做的事情感兴趣的人:
在对此进行更多调查之后,我发现我最担心的问题之一是使用内联 PHP、Ruby 等编码的有效图像文件。例如:具有以下内容的图像结束:
<?php phpinfo();
我最终获取了解码后的图像数据,并将其提供给 imagecreatefromstring(),然后通过 imagejpeg().
这似乎从原始图像数据中删除了任何编码的 PHP。那时我使用 getimagesize() 验证了保存图像的图像大小数据。假设当时一切都有效,我将图像移动到永久位置。
我改变的另一件事是,我没有使用基于静态字符串和 microtime() 的文件名,而是使用了哈希。
关于图像注入代码的问题,我发现这个 link 很有帮助: https://www.owasp.org/index.php/Unrestricted_File_Upload
我还发现另一个 SO post 很有用,就总体思路而言: Validating base64 encoded images
最后,下面这本书首先引起了我对图像和代码的关注: http://www.apress.com/9781430233183