Script v neznámém souboru

Jedna z testovacích zpráv, která se snaží umístit skript uzavřený tagy <scipt> a </scipt> do přiloženého souboru, jehož obsah je po otevření zobrazen přímo webovým prohlížečem. Konkrétně se v tomto případě jedná o soubor s neznámou příponou. Často je na zranitelnosti tohoto typu náchylný pouze Internet Explorer, který se snaží vykonat html kód, snad všude, kde na něj narazí. V určitých případech, podle způsobu vytvoření webmailové aplikace, však může dojít k vykonání skriptu i jinými prohlížeči. Obranou může být zákaz otevírání příloh přímo ze serveru a jejich nucený download před spuštěním. Pokud již má k zobrazení skutečně dojít, je nutné obsah souboru zobrazit jako typ text/plain nebo jej kontrolovat na výskyt nebezpečných znaků. Posledním typem obrany, který mě napadá je zobrazovat přílohy v jiné doméně, aby kód nemohl přistupovat k ostatním částem webmailu. V tomto případě je potřeba si uvědomit, že spuštění útočníkova kódu může přesto vést ke zdárnému sociologickému útoku.

zdrojový kód zprávy

From: "TestMail" <testmail@soom.cz>
TO: [[zadaná adresa]]
SUBJECT: Test
MIME-version: 1.0
X-Priority: 3 (Normal)
Importance: Normal
return-Path: testmail@soom.cz
Reply-To: testmail@soom.cz
Content-Type: multipart/mixed;
 boundary="messagepart01"

This is a multi-part message in MIME format.

--messagepart01
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable

TESTMAIL

--messagepart01
Content-Type: text/html;
 name="test.qwx"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
 filename="test.qwx"

PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=
--messagepart01--