Xss через картинку

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Xss через картинку

Опции темы

Поиск в этой теме

Опции просмотра

22.12.2010, 03:40

nakurukataоm

Новичок

Регистрация: 05.09.2010

Сообщений: 25

С нами: 8255126

Репутация: 0

На сайт с самописной cms залил картинку с alert(“XSS!”) в exif части. Алерт не происходит, но при скачивании с сайта назад, я получаю туже самую картинку, с alert(“XSS!”). В статьях про подобную уязвимость как метод защиты от нее значится модифицирование заливаемого пользователем файла: htmlspecialchars(),изменение размера изображения или его формата. Значит ли это что на сайте стоит другой способ защиты? Или я просто туплю с алертом?

𝕏 Twitter Reddit Telegram Копировать ссылку

22.12.2010, 04:15

FindeR

Участник форума

Регистрация: 15.11.2006

Сообщений: 259

С нами: 10255414

Репутация: 151

Так а с чего тебе должен показываться exif изображения?

22.12.2010, 05:10

nakurukataоm

Новичок

Регистрация: 05.09.2010

Сообщений: 25

С нами: 8255126

Репутация: 0

возможно я чего то не допонимаю, но разве exif это не мета данные? И разве они не читаются?

22.12.2010, 05:25

FindeR

Участник форума

Регистрация: 15.11.2006

Сообщений: 259

С нами: 10255414

Репутация: 151

Это метаданные изображения.

Прочесть ты их сможешь только каким-нибудь плагином для браузера.

Ну, или почти в любом вьювере изображений.

И, кстати, а куда именно-то ты вставляешь свой алерт в экзифе? Там параметров много же. И главное, чем ты его туда вставляешь?)

22.12.2010, 07:00

nakurukataоm

Новичок

Регистрация: 05.09.2010

Сообщений: 25

С нами: 8255126

Репутация: 0

Использовал Exif farm, первоначально писал в тип камеры, но сейчас попробовал запихать алерт во все, что только можно=\ и все равно толку нет

Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход