XSS в Quicktime

23:30 19.10.2006

Cross-Site Scripting стає все більш поширеним. В своєму записі XSS in Quicktime, як я давно планував розповісти, RSnake згадує про дослідження pdp, стосовно XSS в Quicktime роликах. Як повідомив автор дослідження, він виявив можливість включення коду в Quicktime файл, який будучі розміщеним на веб сторінці, приведе до виконання коду (XSS), при перегляді цієї сторінки відвідувачем.

Про сайт pdp та його дослідження, я вже згадував раніше (gnucitizen.org - блог про веб безпеку).

Зокрема я зверну увагу на дослідження pdp стосовно включення XSS коду в такі об’єкти як Flash та QuickTime:

Включення XSS в Flash та QuickTime дозволяє проводити серйозні атаки, і надає додаткових векторів для подібних атак (і може застосовуватися, там де є фільтрація XSS з інших джерел інформації).

Cross-Site Scripting у Flash, тепер ось в Quicktime. Що далі? Вектори XSS атак доволі різноманітні, про що я буду додатково розоповідати.


Leave a Reply

You must be logged in to post a comment.