yohgaki's blog - 画像ファイルにJavaScriptを隠す

(Last Updated On: 2014年12月5日)前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flicke

[dissonance_83]

クローズドの場だからとネットで見つけた他人の「作品」をノーリスペクト、ノーコストで「素材」と言って手抜きの為に使う事を正当化する方々に灸を据える為に使うといいかも…まぁ私はしないけどね

[townlab]

2007年の記事…。

[yamap_55]

試してみたけど画像としては壊れてるっぽい。2007年当時のブラウザでは表示できたのかな？ https://gist.github.com/yamap55/418bb260e5eb55bf278b

[valinst]

あとで試したい

[bullet7]

話題が古すぎて逆に新しい的な？

[masayoshinym]

対処法は無いの？

[call_me_nots]

"このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます"

[mut00tum]

うお、リアルオービタルクラウドだー

[coco5959]

画像ファイルにJavaScriptを隠す | yohgaki's blog:…

[ichiroc]

"このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。" ちょっと凄すぎて良く分からない

[teracy_junk]

これはこわい

[meganemegane103jp]

なんか昔のjpegにデータ入れれるツールがあった気がするよ

[stumsky]

へー！ 画像ファイルにJavaScriptを隠す | yohgaki's blog

[ryunosinfx]

hou

[sos_9]

みてる：画像ファイルにJavaScriptを隠す | yohgaki's blog

[kateinoigaku]

画像ファイルにJavaScriptを隠す | yohgaki's blog

[mjy]

大丈夫。「通信の最適化」というグレートなファイアーウォールが我々を守ってくれる。

[dai_air]

みてれぅ: "画像ファイルにJavaScriptを隠す | yohgaki's blog"

[ngsw]

お、あるある探検隊っぽいぞ

[Nyoho]

面白い

[takhasegawa]

なにこれ怖い

[ko-ya-ma]

画像としても表示できちゃうのか

[razokulover]

やばさ

[hiroshi_revolution]

画像ファイルにJavaScriptを隠す | yohgaki's blog

[typista]

画像ファイルにJavaScriptを隠す

[wepon]

scriptのsrcに画像を指定できる件

[gotohell]

js

[lizy]

<script>のsrcに画像ファイルを指定されるような状況限定と考えていいのかな

[hasegawayosuke]

<script>からしか利用できないし<script>が通るならリモートにスクリプトを置けばよいので、「XSS攻撃を拡張する手段に利用可能」ではあるけど(攻撃者にとっての)メリットがよくわからん。//誤魔化す文字はus-asciiで2倍使える

[TAKESAKO]

んー