Sto testando la mia applicazione per le vulnerabilità della sicurezza. Ho inserito javascript in una gif e l'ho caricato nell'applicazione. L'applicazione carica l'immagine nel tag <img> . Lo script viene eseguito solo se l'immagine è data come sorgente in <script> . C'è un altro modo per caricare lo script nell'immagine?
Storicamente, è stato possibile, ad esempio il caso GIFAR malware di oltre un decennio fa.
Ma per ora con i moderni browser Web, non c'è modo. È stato corretto per evitare che immagini poliglotte vengano eseguite a volontà. <img> leggerà e visualizzerà l'immagine solo come un'immagine, indipendentemente dal tipo di contenuto della pagina stessa (prima aveva la precedenza).
Tuttavia, potresti voler sapere che potrebbe essere possibile eseguire un'iniezione XML utilizzando un file svg . XSS non sarà possibile finché ti atterrai al tag <img> , ma potrebbe verificarsi XXE.
È difficile con i browser correnti ottenere un browser per eseguire javascript quando viene pubblicato in un altro tipo mime / incorporato in un tag immagine.
IE potrebbe essere vulnerabile se autorizzi l'accesso all'immagine direttamente (prova l'URL diretto) e non sfrutta le intestazioni "nosniff": "X-Content-Type-Options: nosniff" header
Ma ci sono molte cose di cui devi preoccuparti se permetti il caricamento di contenuti non attendibili. Vedi Does-X-Content-Type-Options davvero prevenire gli attacchi di sniffing dei contenuti? per un buon riepilogo dei problemi con il permesso di caricare i file sul tuo sito.
Procedura consigliata: se possibile, pubblica contenuti utente da un dominio separato.
Leggi altre domande sui tag web-application xss