Einige ältere Browser zu XSS-Angriffe als solcheXSS-Angriff mit Javascript in img src-Attribut
<img src="javascript:alert('yo')" />
Aktuelle Versionen des IE, FF, Chrome verwundbar sind, nicht.
Ich bin gespannt, ob alle Browser anfällig für einen ähnlichen Angriff sind:
<img src="somefile.js" />
oder
<iframe src="somefile.js" />
oder andere ähnliche, wo somefile.js etwas schädliches Skript enthält.
Nr Bilddaten werden nie als JavaScript ausgeführt finden. Wenn der src ein JavaScript-Link ist, wird JavaScript ausgeführt, aber das grundlegende Lesen von Daten, die von einer Anfrage an den src stammen, beinhaltet kein JavaScript.
Was ist mit dem Iframe? Gilt das oben Gesagte auch? – jmishra
Nein, JavaScript wird dann auch nicht ausgeführt. –
Alle gängigen Browser sind immer noch anfällig für diese Angriffe. Tonnen Weisen img-Tags sind immer noch rund .. Zum Beispiel ...
<img src='#' onerror=alert(1) />
Suchen Sie nach RSnake XSS Spickzettel, das sind nur einige Vektoren. Übrigens habe ich gehört, dass er bald eine neue Version seines Cheatsheets entwickeln wird.
hier können Sie einige XSS Angriff Vektor http://ha.ckers.org/xss.html
neuer Link [XSS Filter Evasion Spickzettel] (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet) – mazenovi
Wie wäre es mit "versuchen Sie es selbst zu sehen"? – Piskvor
habe ich mit modernen Versionen von IE, FF und Chrome gemacht. Habe keine älteren Browser, darum habe ich gefragt. – Matthew