人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

favicon用の.icoファイルをユーザがアップロードできるようにしたいと思います。
ですが、ユーザからの入力ということもあり、脆弱性とか気になります。

ちょっとチェックしたくて試してみたんですが、getimagesize()関数では.icoファイルが判定されませんでした。また、http://www.revulo.com/blog/20070520.html にヘッダによる判定法が載っていますが、それでは不充分ではないかと感じています(そもそも攻撃手段がない、というならそれでもよいです)。

PHPを使って、アップロードされたファイルが本当に.icoかどうかを判別するにはどうすればいいですか?

●質問者: 海老原昂輔
●カテゴリ:インターネット ウェブ制作
✍キーワード:favicon ICO PHP アップロード ファイル
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● withgod
●60ポイント

phpのみで完結しないと駄目でしょうか?


icoutils home

外部コマンドを呼ぶことが可能で有れば、こういうコマンドラインツールが有るので、これに食わせてみて判断とかでもいい気がします。


思いつく脆弱性としては、CGI等を配置、拡張子では無くファイルの中身を見て処理を判断するIEの独自仕様(6までだったかな?)辺りを使ってスクリプトの記述とかすると悪さが出来そうでは有ります。

#実際の挙動は解りませんが。<IE

◎質問者からの返答

ちょっとPHPで完結しないとキツイですね……

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ