Mi organización usa un complemento para importar metadatos asociados con imágenes en páginas web. ¿Existen riesgos asociados con la importación de metadatos?
Mi organización usa un complemento para importar metadatos asociados con imágenes en páginas web. ¿Existen riesgos asociados con la importación de metadatos?
Absolutamente. Por ejemplo, es un truco bastante conocido para incrustar ataques XSS en datos JPEG EXIF. Aquí hay un código de ejemplo muy simple que se puede explotar con una imagen correspondiente: enlace
Los metadatos son como cualquier otra entrada de usuario. Debe asumir que el usuario tiene control completo sobre los metadatos, por lo que no debe confiar en ellos de ninguna manera.
Los riesgos posibles también son los mismos que con cualquier entrada del usuario: XSS (en caso de que muestres los metadatos), inyección de SQL (en caso de que guardes los metadatos en la base de datos), ejecución de código (en caso de que pases los metadatos a funciones que permiten la ejecución de código), etc.
Por supuesto, no solo las funciones que manejan los metadatos deben ser seguras, sino también la función que extrae los datos.
No confiar en los metadatos también significa que no puede confiar en ellos para la lógica de su aplicación. Por ejemplo, si los metadatos dicen que la imagen fue creada por Foobar en 2015: 10: 10, eso no significa que eso sea necesariamente cierto.
Lea otras preguntas en las etiquetas web-application