Voglio imparare tutto a riguardo. Come possiamo iniettare il codice in un'immagine? Il codice deve essere php? O funziona anche JavaScript o HTML? Come trovo documentazione su questo articolo?
Sono un principiante su questo tipo di argomenti. Voglio essere un pentitore. Quindi tutte le tue risposte sono molto improtuttive per me. Grazie per l'aiuto.
P.S: Quando cerco web, ho trovato questo. Ma questo non è lavoro. link
Il passaggio del codice malevolo come immagine si basa in gran parte su come il sito Web mirato controlla i caricamenti di file. Se il sito Web sta controllando solo l'estensione, quindi sta cercando .jpg nel nome del file, un semplice bypass è .jpg.php file, per esempio. Se il sito web sta controllando solo le intestazioni, assicurati che lo script PHP pubblichi intestazioni che lo facciano apparire come se fosse un file immagine. Vuoi fare una ricerca su google per "maschera php come jpg" o "php shell jpg" per ulteriori informazioni.
Per quanto riguarda Windows, non c'è molto da fare, ci sono alcuni modi ancora funzionanti, ma avrai un tempo semirigido per raggiungere il tuo obiettivo di aprire i file. Ad esempio, puoi modificare il file .exe in un file .jpg e creare un altro file di collegamento nella stessa cartella. Come target per la scorciatoia, inseriresti C:WINDOWSsystem32cmd.exe /c whateverexeyourenamed.jpg . Facendo clic sulla scorciatoia, a sua volta, si esegue il file .jpg come .exe , tuttavia, questo metodo è piuttosto antico e mia nonna, se fosse viva, sarebbe in grado di vederla.
Dato che hai dichiarato di voler diventare un pentestore, il mio miglior consiglio è pasticciarlo. Ospita un server php o qualunque cosa tu stia cercando di violare, aggiungi una buona protezione per il caricamento di file e prova a violarlo. Se con "javascript injection" intendi "xss attack", questo è un po 'diverso, e non ha nulla a che fare con le immagini, se tu chiami il termine, sono sicuro che lo capirai. Se con "javascript injection" intendi che mostri un'immagine all'utente sul sito web, ciò danneggerà se cliccano su di esso (elemento "semplice", certo, ma il massimo che potresti fare è ottenerli gradire una pagina Facebook casuale o qualcosa di inutile lungo la linea e, infine, se con "javascript injection" intendi creare una pagina che invogli gli utenti a fare qualcosa e rilasciare una shell sul loro computer, possibile, complicata e molto difficile da tirare di, considerando il livello di intelligenza e consapevolezza dei tuoi obiettivi deve essere incredibilmente basso.
Cose da verificare (digita in google):
Scusa se ho perso le tue domande, ma questa è la risposta migliore che posso darti considerando la tua domanda. Se stai cercando qualcosa di specifico, potresti metterlo in evidenza.
Leggi altre domande sui tag javascript php penetration-test injection