posibilidad de ejecución php en img src

-2

Estoy creando una aplicación simple. Hay una opción para descargar una imagen generada. Para eso, mi código PHP es:

<?php
if (isset($_GET['img_name'])){
?>
<html>
<img src="<?php echo $_GET['img_name'];?> "></html>
<?php
}
?>

Sé que esto es vulnerable a XSS. Pero este no es el problema. La pregunta es, ¿es posible que un atacante incluya o ejecute un archivo o código PHP a través de esta aplicación? Sé que, para las etiquetas echo y img , PHP no se ejecutará aquí.

¿Qué piensas de los investigadores? ¿Estoy a salvo?

    
pregunta Imran Abdur Rahim 30.11.2014 - 20:21
fuente

1 respuesta

1

Si su única preocupación es la ejecución de código, sí, está seguro.

Pero como has dicho, eres vulnerable a los scripts de sitios cruzados. Y dependiendo del propósito de su página, podría ser vulnerable a la fuga de IP y al robo de tokens.

    
respondido por el Lucas NN 30.11.2014 - 20:56
fuente

Lea otras preguntas en las etiquetas