Hola.

Acabo de realizar una pequeña aplicacion web que permite al visitante subir imagenes. Recordé que habia un bug para añadir en los comentarios o al final de la imagen código php para que fuese ejecutado al mostrar la imagen .gif o .jpg..

Lo he probado y no a funcionado.

Me pregunto si es que en las nuevas versiones de PHP esto ya a sido arreglado y no puede ser explotado.

Si hay alguna forma, porfavor, haganmelo saber.

Muchisimas gracias.

Hola de nuevo y gracias por tu ayuda.

Pregunto esto de la imagen GIF, por ejemplo, por si encuentro una vuln Remote file inclusion RFI.

¿Ya no podria explotarla,verdad?

Antes bastaba, con subir una shell php a un servidor remoto y cambiarle la extensión de .php a .gif y ya se ejecutaba en el servidor victima. Ahora aparece el mensaje:

"Esta imagen contiene errores y no se ha cargado" o algo asi.


¿Esto ya no se puede explotar de ninguna forma?
Tengo una pequeña vuln que creo haber descubierto en un producto bastante importante, el cual se trata de un RFI, si se le pudiera inyectar una shell a una imagen, claro.