今天程序想壓縮一些圖片,想獲取圖片的寬高,在網上查了一下哪些函數可以使用,然后看到getimagesize()這個函數。但是當同事看到這個函數,提醒我說這個函數,運營同事禁止使用。心里就很奇怪,就在網上查了一下。果然查到了這個函數的漏洞。
漏洞信息
PHP是一種在服務器端執行的嵌入HTML文檔的腳本語言。
PHP Getimagesiz函數用於判斷圖像大小,接收一個URI參數,Getimagesize()沒有實現任意函數來校驗遠程服務器上下載的文件是否會圖像或大小超過預期,可使PHP下載超大文件,造成拒絕服務攻擊。