Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak stworzyć jpega, który wykona się jako JavaScript?
Konkretny przepis oraz przykładowy jpeg znajdziecie na blogu twórców narzędzia Burp Suite.
Co daje tego typu sztuczka? Choćby możliwość omijania mechanizmu CSP. Jeśli możemy uploadować na serwer pliki jpeg – to możemy umieścić tam nasz JavaScript, a stąd już krok do odpalenia XSS-a.
–ms
Ciekawa sztuczka. Moze takze umozliwic podobny atak jak ten z Photo.svg na Facebook…
Rok 2016. Większość przeglądarek dalej wykonuje skrypty nie zwracając uwagę na MIME :/
Tylko w Google Chromie chyba pracują ludzie myślący i już dawno tego zabronili.
wtf? czyli oprócz uploadu mam jeszcze zmusić autora strony, żeby wrzucił mój obrazek w `src` tagu script?
no to rzeczywiście `krok do odpalenia XSS-a` :/
po cholere gość chciał zuploadować to na forum phpBB? chyba nie dołącza ono avatarów jako `script` (bo pomijając logikę – to i tak by nie zadziałało nawet z poprawnym jpegiem przecież)
No to w kontekście omijania CSP, kiedy często masz ustawioną politykę na 'self’ czyli wciąganie JavaScriptów tylko z tej samej domeny (z plików). Oczywiście ścieżka jest taka -> XSS (ale jest CSP) -> ten trick -> odpalony JS