Skript v obrázku

HackForum

Skript v obrázku#
Zdravim,

začínám se zajímat o webovou bezpečnost a narazil jsem na ukrytí skriptu do obrázku. Našel jsem to na webu: <a href="[link]">Zde</a>/entity]

Stáhl jsem si onen obrázek, který je nakažený skriptem a vložíl jsem ho do webové stránky přes img tag. Webová stránka je s příponou php a běží na apachi.

Výsledkem bylo zobrazení obrázku, nic víc se nestalo. Zkoušel jsem to v Chrome a IE.

Vytvořil jsem si také svůj nakažený obrázek (zkoušel jsem JS i PHP).

Nevíte co dělám špatně?
(odpovědět)
$Cbsa$ | 79.127.196.*7.11.2015 16:46
re: Skript v obrázku#
Jak se pise v uvodu toho clanku, utok prosel jen proto, ze zranitelny script nacital obrazek prez funkci include.

V tvem pripade se kod urcite nespusti, jelikoz si ho ulozis s priponou .jpg (nebo obdobnou) a kdyz posles pozadavek na webový server (www.abc.cz/obr.jpg) webovy serber se koukne na priponu a zjisti, ze je to pripona, kterou "nevykonava" ale pouze vraci.

Jak bys tedy nasimulovat utok podobny tomu z clanku? Ten obrazek si na severu nech, ale nepristupuj k nemu primo (vytvor si php soubor, ktery bude pomoci funkce include/require nacitat prave ono obrazek). Pak by vse melo jit.
(odpovědět)
Playa_zabran | 213.192.12.*7.11.2015 18:41

Zpět
 
 
 

 
BBCode