|
Сокрытие xss в картинке
Я создал GIF размером 1*1, вписал в него в HEX'e свой код, переименовал файл в ЖПЕГ (чтобы ИЕ не пытался отрисовать GIF, а сразу кидался на выполнение кода) и загрузил как аватару на форум. (почти точная копия аватары валяется здесь, открывать в ИЕ не рекомендуется) Проблема в следующем: мне необходим скрипт, скрывающий хедэр GIF89a. Если есть такое в природе - поделитесь, ибо сам Явы не знаю. Картинку впихнул для маскировки, но это - попытка спрятать рояль в кустах...
|
вписывай скрипт в заголовки exif
и человек должен пройти по ссылке твоей аватары чтобы куки отослались. |
То, что юзер должен по ссылке прогуляться - это я знаю. Хочется, чтобы по ссылке его помимо сниффера ожидала обычная картинка. Получится так?
|
после скрипта поставь редирект
<meta http-equiv=refresh content=0;URL=тут_адресс_картинки> |
Об этом я думал, но не проверял, будет редир заметен или нет...
|
а не проще ли
<script>...</script> <img src=image.gif> использовать? |
У меня в файле так и стоит, но перед картинкой возникает надпись "GIF89a", которую надо запрятать.
|
используй *.jpg
эфект тотже, но вроде не кажет ничего лишнего. |
GIF98 можно спрятать через <style>:
Код:
<style>ЗЫ Может быть не display, a visible - точно не помню |
Green_Bear, баг в том и заключается, что ИЕ выполняет hex-код только в ГИФах.
Насчет style - ща протестю. Да, Style полностью отключил всё отображение страницы (говорила же мне мама: сынок, учи HTML!) Тестовый вариант: http://webfile.ru/648765 |
итог моих стараний на пока: http://webfile.ru/648850
Код ГИФа: Код:
<html> |
| Время: 13:48 |