SRC低危捡漏之文件上传元数据泄露

声明

本文属于OneTS安全团队成员Asoul的原创文章，转载请声明出处！本文章仅用于学习交流使用，因利用此文信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，OneTS安全团队及文章作者不为此承担任何责任。

介绍

数据是照片背后的故事，它告诉我们这个图像文件是如何创建的，在哪里和何时创建的。

它还描述了照片的内容，确定了摄影师，并展示了图像在后期处理中是如何编辑的。

简单地说，假设您使用数码相机单击了一张图片，当该图像被处理并保存在存储设备上时，一些属性也会被添加到文件中，例如作者、位置、设备信息和其他适用于描述图像信息的信息。

而如果服务端对用户上传的图片未进行处理就直接展示，那么将可能导致源数据泄漏

通常情况下，元数据中包含GPS地址、设备信息等，会被当作低危。

Tips：

元数据泄漏不仅限于图片，还可以在其他文件格式中找到，如PDF

漏洞复现

ONETS安全团队

①在头像上传等图片可以被枚举的功能点上传包含有exif敏感信息的图片，没有的话可以用手机现拍。

（但是我自己的手机打开gps然后拍照半天都没有，如果相机打开gps可能会有，所以这里复现只能用工具手动添加一些exif信息）

工具名：GeoSetter

②将这个照片上传

③上传后再将图片下载下来，用kali里的exiftool查看信息（不要右键图片属性看，那只能看到部分信息）

比较敏感的数据如下：

④上传另一张图片

然后同样再把上传好的图片拿下来，再用exiftool工具去看。

⑤下面两张照片分别是上传前和上传后再下载下来的，其中的exif信息完全没有变，说明服务器没有做过滤