Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciekawa sztuczka. Moze takze umozliwic podobny atak jak ten z Photo.svg na Facebook…

    Odpowiedz
  2. RRRrrrr

    Rok 2016. Większość przeglądarek dalej wykonuje skrypty nie zwracając uwagę na MIME :/

    Tylko w Google Chromie chyba pracują ludzie myślący i już dawno tego zabronili.

    Odpowiedz
  3. dzek

    wtf? czyli oprócz uploadu mam jeszcze zmusić autora strony, żeby wrzucił mój obrazek w `src` tagu script?

    no to rzeczywiście `krok do odpalenia XSS-a` :/

    po cholere gość chciał zuploadować to na forum phpBB? chyba nie dołącza ono avatarów jako `script` (bo pomijając logikę – to i tak by nie zadziałało nawet z poprawnym jpegiem przecież)

    Odpowiedz
    • No to w kontekście omijania CSP, kiedy często masz ustawioną politykę na 'self’ czyli wciąganie JavaScriptów tylko z tej samej domeny (z plików). Oczywiście ścieżka jest taka -> XSS (ale jest CSP) -> ten trick -> odpalony JS

      Odpowiedz

Odpowiedz