Skript v obrázku
HackForum
| Zdravim,
začínám se zajímat o webovou bezpečnost a narazil jsem na ukrytí skriptu do obrázku. Našel jsem to na webu: <a href="[link]">Zde</a>/entity]
Stáhl jsem si onen obrázek, který je nakažený skriptem a vložíl jsem ho do webové stránky přes img tag. Webová stránka je s příponou php a běží na apachi.
Výsledkem bylo zobrazení obrázku, nic víc se nestalo. Zkoušel jsem to v Chrome a IE.
Vytvořil jsem si také svůj nakažený obrázek (zkoušel jsem JS i PHP).
Nevíte co dělám špatně?
(odpovědět) | | $Cbsa$ | 79.127.196.* | 7.11.2015 16:46 |
|
|
|
| Jak se pise v uvodu toho clanku, utok prosel jen proto, ze zranitelny script nacital obrazek prez funkci include.
V tvem pripade se kod urcite nespusti, jelikoz si ho ulozis s priponou .jpg (nebo obdobnou) a kdyz posles pozadavek na webový server (www.abc.cz/obr.jpg) webovy serber se koukne na priponu a zjisti, ze je to pripona, kterou "nevykonava" ale pouze vraci.
Jak bys tedy nasimulovat utok podobny tomu z clanku? Ten obrazek si na severu nech, ale nepristupuj k nemu primo (vytvor si php soubor, ktery bude pomoci funkce include/require nacitat prave ono obrazek). Pak by vse melo jit.
(odpovědět) | | Playa_zabran | 213.192.12.* | 7.11.2015 18:41 |
|
|
|
