Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про локальне включення файлу через JPG, пропоную новий відео секюріті мануал. Цього разу відео про XSS атаки через файли зображень. Рекомендую подивитися всім хто цікавиться цією темою.

XSS injection in image formats

Якщо в попередньому відео ролику демонструвалася LFI атака через jpg файл, то в даному відео ролику демонструється XSS атака через файли зображень (зокрема через png файл). Тобто на сайт завантажується зображення в форматі png, в якому розміщений JavaScript (або VBScript) код.

І при перегляді даного файлу в Internet Explorer цей код виконається (що є давно відомою особливістю IE). Рекомендую подивитися дане відео для розуміння векторів Cross-Site Scripting атак, зокрема через файли зображень.

This entry was posted on 22:47 27.06.2009 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.