Basic64 codifica un'immagine e la memorizza in un database introduce rischi per XSS

6

Ok, ecco uno scenario per te qui.

Hai un database. Hai una tabella in cui conserverai piccole immagini PNG da 30x30 pixel. Sono codificati in base64. Verranno echeggiati come avatar per il profilo.

In passato ho visto trucchi con XSS che utilizzano tag immagine per recuperare il codice javascript.

 <IMG SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">

Questo può essere fatto con un'immagine codificata Base64? È un attaccante capace di creare qualcosa che possa introdurre questo tipo di rischio? In tal caso, cosa posso fare per attenuare la minaccia?

    
posta Meh 17.03.2015 - 03:32
fonte

1 risposta

13

Supponendo che tu gestisca i dati dell'immagine in modo ragionevole, no. I dati non vengono mai messi in un posto dove potrebbe essere visto come codice.

Anche se non gestisci i dati dell'immagine in modo ragionevole, probabilmente no. Nell'alfabeto base64 mancano alcuni dei caratteri essenziali per la produzione di Javascript utili: c'è solo così tanto che puoi fare con + , / , = e gli alfanumerici. Senza parentesi, parentesi, punti e virgola, spazi o virgolette, non è possibile creare un'iniezione SQL o una chiamata di funzione JavaScript.

    
risposta data 17.03.2015 - 05:25
fonte

Leggi altre domande sui tag