2017/09/12 2019/12/23
WEBサイトのセキュリティ対策の中でも重要なのが画像のアップロード時の不正対策だ。最も行われている攻撃は画像のファイルのメタ情報に不正コードを埋め込んで、後から復元&実行を穴のあるプログラムコードに混ぜて処理させファイル改竄に持ってゆくというものだ。この手法は古くからある手法だが残念ながら今でも十分有効な攻撃手法です。
元々はexiftoolの目的は画像のメタ情報(撮影時の機種、タイムスタンプ、画像のタイプ、場所などの付帯情報)を編集するツールです。このソフトはオープンソースなのでダウンロードしてどんなプラットフォームでも利用が可能です。それではLinux(CentOS6,7)などで利用する場合について解説していきたいと思います。
ダウンロードしたら適用なディレクトリに配置して解凍します。
1 2 3 4 5 |
# tar xvfz Image-ExifTool10.6.1.tar.gz # cd Image-ExifTool-10.61 # perl Makefile.PL # make test # make install |
もしMakeする際にエラーが出るとしたら、perlモジュールが足りないため発生する可能性はあります。その場合はcpanをyumでインストールし cpanツール起動しライブラリーをインストールしてください。「cpan[1]> install ExtUtils::MakeMaker」
気をつける点は”-all= *.jpg”の”=”の後は半角1個分のスペースの後に画像ファイル名を指定しないとエラーになる。またデフォルトで変換前のファイルはoriginalという名前が付加され残ります。残すと危険なので削除を最後に実施します。
1 2 3 4 5 6 7 |
# exiftool -all= *.jpg # ls -l -rwxr-xr-x 1 root root 3670566 Sep 12 11:39 item01.jpg -rwxr-xr-x 1 root root 3718803 Sep 12 11:25 item01.jpg_original -rwxr-xr-x 1 root root 3351844 Sep 12 11:40 item02.jpg -rwxr-xr-x 1 root root 3391490 Sep 12 11:25 item02.jpg_original # rm -f *original |
1 2 3 |
# yum install ImageMagick # yum install ImageMagick-devel # convert item01.png -quality 100 item01.jpg |
簡単に設置できるので試してください。「私はロボットではありません」のボックスが表示されます。