Сокрытие xss в картинке
 

Я создал GIF размером 1*1, вписал в него в HEX'e свой код, переименовал файл в ЖПЕГ (чтобы ИЕ не пытался отрисовать GIF, а сразу кидался на выполнение кода) и загрузил как аватару на форум. (почти точная копия аватары валяется здесь, открывать в ИЕ не рекомендуется) Проблема в следующем: мне необходим скрипт, скрывающий хедэр GIF89a. Если есть такое в природе - поделитесь, ибо сам Явы не знаю. Картинку впихнул для маскировки, но это - попытка спрятать рояль в кустах...

вписывай скрипт в заголовки exif

и человек должен пройти по ссылке твоей аватары чтобы куки отослались.

То, что юзер должен по ссылке прогуляться - это я знаю. Хочется, чтобы по ссылке его помимо сниффера ожидала обычная картинка. Получится так?

после скрипта поставь редирект

<meta http-equiv=refresh content=0;URL=тут_адресс_картинки>

Об этом я думал, но не проверял, будет редир заметен или нет...

а не проще ли
<script>...</script>
<img src=image.gif>
использовать?

У меня в файле так и стоит, но перед картинкой возникает надпись "GIF89a", которую надо запрятать.

используй *.jpg
эфект тотже, но вроде не кажет ничего лишнего.

GIF98 можно спрятать через <style>:
У меня это проходило.
ЗЫ Может быть не display, a visible - точно не помню

Green_Bear, баг в том и заключается, что ИЕ выполняет hex-код только в ГИФах.
Насчет style - ща протестю.

Да, Style полностью отключил всё отображение страницы (говорила же мне мама: сынок, учи HTML!)
Тестовый вариант: http://webfile.ru/648765