今日、プログラムはいくつかの画像を圧縮し、画像の幅と高さを取得したいと思ったので、どの関数が使用できるかをインターネットで調べたところ、getimagesize() 関数を見つけました。しかし、この機能を見た同僚が、この機能は運用仲間には使用禁止であることを思い出させてくれました。とても不思議な気がしたのでネットで調べてみました。案の定、この機能の脆弱性が発見されました。
脆弱性情報
PHP は、サーバー側で実行され、HTML ドキュメントに埋め込まれるスクリプト言語です。
PHP の Getimagesiz 関数は、画像サイズを決定するために使用され、URI パラメーターを受け取ります。 Getimagesize() は、リモート サーバーからダウンロードされたファイルに画像があるかどうか、または予想よりも大きいかどうかを確認する関数を実装していません。これにより、PHP がダウンロードされる可能性があります。非常に大きなファイルであり、サービス拒否攻撃を引き起こします。