C'era una "vulnerabilità" in cui l'immagine poteva inviare una risposta di HTTP 401 Unauthenticated
, che avrebbe attivato una schermata di accesso per l'utente. Se lo imposti come avatar del forum, verrà generato un popup di accesso per chiunque visiti una pagina in cui appare il tuo avatar. Molte persone tenteranno quindi di accedere con una combinazione di nome utente e password, probabilmente quella per l'account del forum.
Un mio amico l'ha trovato qualche anno fa, ma oggigiorno non sembra più funzionare. Almeno non riuscivo a riprodurlo facilmente qualche mese fa. Modifica: ho sbagliato, questo attacco è ancora possibile! / Modifica
Per quanto riguarda gli attacchi XSS in questo modo, sei al sicuro. Il browser, o dovrebbe, interpretarlo sempre come un'immagine indipendentemente da cosa contenga o da quali intestazioni essa invia. È possibile personalizzare l'immagine in base alla richiesta (servendo una piccola immagine al software del forum per precedere l'immagine in modo che non la riduca in scala, quindi grande per tutti gli altri). Oppure alimenta il browser con un sacco di dati gif finché la memoria non si esaurisce o qualcosa del genere. Ma non ci sono vere grandi vulnerabilità qui che consentono l'esecuzione di Remote Code per quanto ne so.
Ciò che sei solo moderatamente sicuro sono gli attacchi CSRF. L'immagine può emettere una risposta HTTP 302 Moved Temporarily
e collegarsi a una nuova posizione. Ad esempio, potrebbe collegarsi a, non ricordo l'URL specifico, qualcosa come https://accounts.google.com/logout
e disconnetterti da Google (questo ha funzionato alcuni mesi fa). O, leggermente più maliziosamente: http://example.com/guestbook.php?action=post&message=spam-url.example.com
.
Solo le richieste GET possono essere fatte in questo modo, per quanto ne so. O se l'immagine è stata originariamente caricata come richiesta POST, suppongo che potrebbe anche reindirizzare il POST, ma non modificare i dati POST. Quindi è abbastanza sicuro.
Ultimo ma non meno importante, se l'utente malintenzionato controlla gli URL degli avatar forum ad esempio (come nei forum SMF), è possibile ottenere informazioni da visitatori come il loro indirizzo IP. Ho scritto uno strumento qualche tempo fa che utilizzava la pagina action=who
di SMF per collegare gli indirizzi IP ai nomi utente. Quando ho iniziato a mostrarlo agli utenti (mostra "Hello $ username with IP: $ IP" nell'immagine) si scatenò l'inferno. "Come potresti saperlo?!" Erano per la maggior parte dei tecnici di fascia medio-alta, quindi sapevano quale fosse l'indirizzo IP, ma non sapevano che non potevo hackerarli con esso . Tuttavia, sono considerate informazioni di identificazione personale, almeno nei Paesi Bassi, quindi gli amministratori non erano molto contenti di questa pratica. Se non lo visualizzi, nessuno lo saprà mai.
Nota: se questo post sembra scritto in fretta, lo è. Anche a malapena sono sveglio. Forse lo pulirò domani se è troppo storytelling e non citerò abbastanza fatti concreti e vulnerabilità. Spero che questo sia stato d'aiuto comunque!