[PR]小規模ECサイトに最適なWAF、SiteGuard Lite

徳丸浩の日記


2007年07月17日 XSSテスト画像

_JavaScriptを埋め込んだ画像を作ってみました

寺田さんの日記に触発されて、JavaScriptを埋め込んだPNG画像を作ってみました。
注意:この画像にはJavaScriptが埋め込んであります。
私の娘が書いた絵ですここをクリックすると、JavaScriptが発動し、あなたのクライアント上でCookieの値を表示します(IE限定です)

追記 ImageMagic の convertコマンドでPNG→GIF→PNGと変換しても、JavaScriptは削除されませんでした。これは、T.Teradaさんの解説の追試に過ぎませんが、一応ご報告まで。

追記(2007/10/10)

MS07-057のパッチを適用したところ、PNG画像は正しく画像として認識されるようになり、JavaScriptも起動しなくなることを確認しました。手元のIE7にて確認しております。

本日のツッコミ(全3件) [ツッコミを入れる]
_ はせがわ (2007年07月17日 16:43)

GIF/JPEGでもこのようなXSSする画像はありますでしょうか?

_ 徳丸浩 (2007年07月17日 18:18)

はせがわさんのブックマークを見て、公開をすることにしました:-)なんだ、もう公開されているんだ、って。<br>GIFは試しましたが、画像として表示されました。<br>JPEGはこの方法だと駄目だと思います。JPEGにはカラーパレットがありませんので。

_ はせがわ (2007年07月17日 22:52)

ありがとうございます。そうですね、2年前とは状況が変わってますね。また時間のあるときにいろいろ書いてみます。



[PR]小規模ECサイトに最適なWAF、SiteGuard Lite

ockeghem(徳丸浩)の日記はこちら
HASHコンサルティング株式会社

最近の記事

最近のツッコミ

  1. DOMO (06-09)
  2. 徳丸浩 (07-27)
  3. 金床 (07-25)
Google