2007-07-17 XSSテスト画像
●JavaScriptを埋め込んだ画像を作ってみました
寺田さんの日記に触発されて、JavaScriptを埋め込んだPNG画像を作ってみました。
注意:この画像にはJavaScriptが埋め込んであります。
ここをクリックすると、JavaScriptが発動し、あなたのクライアント上でCookieの値を表示します(IE限定です)
追記
ImageMagic の convertコマンドでPNG→GIF→PNGと変換しても、JavaScriptは削除されませんでした。これは、T.Teradaさんの解説の追試に過ぎませんが、一応ご報告まで。
追記(2007/10/10)
MS07-057のパッチを適用したところ、PNG画像は正しく画像として認識されるようになり、JavaScriptも起動しなくなることを確認しました。手元のIE7にて確認しております。
本日のTrackBacks(全1件)
[]
最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 .body .section table { border-collapse: collapse; font-size: 90%; margin: 1em 0; } .body .section table..
GIF/JPEGでもこのようなXSSする画像はありますでしょうか?
はせがわさんのブックマークを見て、公開をすることにしました:-)なんだ、もう公開されているんだ、って。<br>GIFは試しましたが、画像として表示されました。<br>JPEGはこの方法だと駄目だと思います。JPEGにはカラーパレットがありませんので。
ありがとうございます。そうですね、2年前とは状況が変わってますね。また時間のあるときにいろいろ書いてみます。