画像ファイルにJavaScriptを隠す

(更新日: 2014/12/05)

前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。

http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/

などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。

	Hide JavaScript code into GIF image

このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。

Flickerは画像ファイルをそのままアップロードできるようですね。もしかしてGDの整数オーバーフロー脆弱性を攻撃する画像イメージなどもアップできる??

Comments

comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です