Ich zeige euch, wie man PHP Code in Bilddateien verstecken kann, und diesen bei einer unvorsichtigen Implementierung einer Bildanzeige, über require(); oder include(); , ausführen kann.
Der Angreifer könnte beliebige PHP-Befehle ausführen oder eine Art Image-Shell erzeugen, über diese er beliebe Systembefehle ausführen kann, falls er die Rechte dazu besitzt.
Schützen kann ein Webseitenbetreiber sich, in dem er beim Hochladen der Bilder die EXIF-Daten nicht mit abspeichert, oder die Bilder mit dem Befehl fopen ausliest und dann anzeigt.
Gruß