事情的起因是这样的，昨天刷微博的时候看到这样一条

那么，照片到底是什么时候照的？在哪照的？什么时间？用的什么照的？

最重要的是，她的男票（这种人也配当男票系列）说谎了没？

检查照片的技术手段，也常常用在insecure upload里面，在照片里注入代码。作为一种网站的攻击手段，通过在照片（未必是照片，也可以是代码修改后缀）里加入奇怪的代码，然后获取一些奇怪的好处:)

Insecure upload是cyber security里的一项重要vulnerability，现在一般的技术手段是列一个白名单，但是我们cybersecurity大魔王教的做法是利用random name，这样无论你后缀是什么，也不怕你拦截修改之后再上传，用这个方法可以说是改的很彻底。

首先，先上一个神器 ：exiftool／jhead，可以用command line下载

exiftool 和 jhead都有document，如果感兴趣可以自己翻一下，内容惊人！爆炸的那种:)

从网上抓一张照片

对比一下exiftool 和 jhead：

👈的截图并没有截完整，继续下翻：

以及设备名称和型号

:)

今天看你男朋友手机了吗？

附送一个已经inject code的彩蛋

是不是很漂亮？

一般来说，如果想黑insecure upload我比较喜欢先试double extension ，如果不行，再试exiftool。exiftool单个并不能产生很大的作用，配合proxy拦截之后改名.php，在web端就可以执行了（如果没有防护措施的话）。

算是抛砖引玉吧～主要是心疼妹子们，被骗了还想着安慰自己，技术总归是不会骗人的（这句话怎么听起来这么奇怪）

去lab啦～

祝好

andrea

敬上