XSS атаки через файли зображень
22:47 27.06.2009Продовжуючи розпочату традицію, після попереднього відео про локальне включення файлу через JPG, пропоную новий відео секюріті мануал. Цього разу відео про XSS атаки через файли зображень. Рекомендую подивитися всім хто цікавиться цією темою.
XSS injection in image formats
Якщо в попередньому відео ролику демонструвалася LFI атака через jpg файл, то в даному відео ролику демонструється XSS атака через файли зображень (зокрема через png файл). Тобто на сайт завантажується зображення в форматі png, в якому розміщений JavaScript (або VBScript) код.
І при перегляді даного файлу в Internet Explorer цей код виконається (що є давно відомою особливістю IE). Рекомендую подивитися дане відео для розуміння векторів Cross-Site Scripting атак, зокрема через файли зображень.