HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу Сокрытие xss в картинке
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Сокрытие xss в картинке
  #1  
Старый 22.11.2005, 09:44
W.W.
Новичок
Регистрация: 21.11.2005
Сообщений: 9
С нами: 10773558

Репутация: 1
Question Сокрытие xss в картинке
Я создал GIF размером 1*1, вписал в него в HEX'e свой код, переименовал файл в ЖПЕГ (чтобы ИЕ не пытался отрисовать GIF, а сразу кидался на выполнение кода) и загрузил как аватару на форум. (почти точная копия аватары валяется здесь, открывать в ИЕ не рекомендуется) Проблема в следующем: мне необходим скрипт, скрывающий хедэр GIF89a. Если есть такое в природе - поделитесь, ибо сам Явы не знаю. Картинку впихнул для маскировки, но это - попытка спрятать рояль в кустах...
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 22.11.2005, 22:33
avrely
Новичок
Регистрация: 02.11.2005
Сообщений: 17
С нами: 10799734

Репутация: 0
По умолчанию
вписывай скрипт в заголовки exif

и человек должен пройти по ссылке твоей аватары чтобы куки отослались.
 
Ответить с цитированием

  #3  
Старый 22.11.2005, 22:47
W.W.
Новичок
Регистрация: 21.11.2005
Сообщений: 9
С нами: 10773558

Репутация: 1
По умолчанию
То, что юзер должен по ссылке прогуляться - это я знаю. Хочется, чтобы по ссылке его помимо сниффера ожидала обычная картинка. Получится так?
 
Ответить с цитированием

  #4  
Старый 22.11.2005, 23:02
avrely
Новичок
Регистрация: 02.11.2005
Сообщений: 17
С нами: 10799734

Репутация: 0
По умолчанию
после скрипта поставь редирект

<meta http-equiv=refresh content=0;URL=тут_адресс_картинки>
 
Ответить с цитированием

  #5  
Старый 22.11.2005, 23:36
W.W.
Новичок
Регистрация: 21.11.2005
Сообщений: 9
С нами: 10773558

Репутация: 1
По умолчанию
Об этом я думал, но не проверял, будет редир заметен или нет...
 
Ответить с цитированием

  #6  
Старый 22.11.2005, 23:38
GreenBear
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
С нами: 11058146

Репутация: 4536


По умолчанию
а не проще ли
<script>...</script>
<img src=image.gif>
использовать?
 
Ответить с цитированием

  #7  
Старый 22.11.2005, 23:50
W.W.
Новичок
Регистрация: 21.11.2005
Сообщений: 9
С нами: 10773558

Репутация: 1
По умолчанию
У меня в файле так и стоит, но перед картинкой возникает надпись "GIF89a", которую надо запрятать.
 
Ответить с цитированием

  #8  
Старый 22.11.2005, 23:51
GreenBear
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
С нами: 11058146

Репутация: 4536


По умолчанию
используй *.jpg
эфект тотже, но вроде не кажет ничего лишнего.
 
Ответить с цитированием

  #9  
Старый 23.11.2005, 01:02
pch
Познающий
Регистрация: 22.10.2005
Сообщений: 37
С нами: 10816148

Репутация: 141
По умолчанию
GIF98 можно спрятать через <style>:
Код:
<style>
           *{display:none}
            IMG {display:block}
</style>
У меня это проходило.
ЗЫ Может быть не display, a visible - точно не помню
 
Ответить с цитированием

  #10  
Старый 23.11.2005, 01:24
W.W.
Новичок
Регистрация: 21.11.2005
Сообщений: 9
С нами: 10773558

Репутация: 1
По умолчанию
Green_Bear, баг в том и заключается, что ИЕ выполняет hex-код только в ГИФах.
Насчет style - ща протестю.

Да, Style полностью отключил всё отображение страницы (говорила же мне мама: сынок, учи HTML!)
Тестовый вариант: http://webfile.ru/648765
Последний раз редактировалось W.W.; 23.11.2005 в 01:40..
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.

×

Внести депозит

Введите сумму USDT:

Принимается только USDT TRC20. Fake/Flash USDT не засчитывается.

×

Вывести депозит

Сумма USDT:

Ваш USDT TRC20 кошелек:

Заявка будет отправлена администратору.