XSS в Quicktime
23:30 19.10.2006Cross-Site Scripting стає все більш поширеним. В своєму записі XSS in Quicktime, як я давно планував розповісти, RSnake згадує про дослідження pdp, стосовно XSS в Quicktime роликах. Як повідомив автор дослідження, він виявив можливість включення коду в Quicktime файл, який будучі розміщеним на веб сторінці, приведе до виконання коду (XSS), при перегляді цієї сторінки відвідувачем.
Про сайт pdp та його дослідження, я вже згадував раніше (gnucitizen.org - блог про веб безпеку).
Зокрема я зверну увагу на дослідження pdp стосовно включення XSS коду в такі об’єкти як Flash та QuickTime:
Включення XSS в Flash та QuickTime дозволяє проводити серйозні атаки, і надає додаткових векторів для подібних атак (і може застосовуватися, там де є фільтрація XSS з інших джерел інформації).
Cross-Site Scripting у Flash, тепер ось в Quicktime. Що далі? Вектори XSS атак доволі різноманітні, про що я буду додатково розоповідати.