[Vuln] EXIF Geolocation Data Not Stripped From Uploaded Images

Tên lỗi:

EXIF Geolocation Data Not Stripped From Uploaded Images

Phân loại:

EXIF Geolocation Data Not Stripped From Uploaded Images

Mô tả:

EXIF (Exchangable Image File) là định dạng ảnh tiêu chuẩn để lưu trữ thông tin trao đổi trong các tệp hình ảnh kỹ thuật số bằng cách sử dụng nén JPEG. Thông tin lưu trên ảnh bao gồm: các thông số của máy ảnh, ngày và giờ chụp ảnh, một số máy ảnh kỹ thuật số hiện nay có lưu cả GPS, ... Kẻ tấn công có quyền xem ảnh có thể trích xuất dữ liệu nhạy cảm trong ảnh, theo dõi vị trí của người dùng.

Mức độ ảnh hưởng:

• Trung bình (nkhi ảnh tải lên là công khai)
• Thấp (khi ảnh tải lên chỉ mình nhìn thấy)

Các bước tái hiện lỗi:

1 - Tải hình ảnh từ https://github.com/ianare/exif-samples/tree/master/jpg/gps

2 - < Các bước truy cập chức năng tồn tại lỗ hổng >

3 - Thực hiện upload ảnh đã tải ở bước 1, ảnh sau khi tải lên có đường dẫn là url.

4 - Truy cập website http://exif.regex.info/exif.cgi để kiểm tra dữ liệu ảnh bị tiết lộ.

Cách khắc phục:

Loại bỏ các trường dữ liệu nhạy cảm trong ảnh trước khi hiển thị.