image xss 1.图片发生xss攻击的条件、原因及对策

最新推荐文章于 2025-05-15 19:14:42 发布
最新推荐文章于 2025-05-15 19:14:42 发布
阅读量8.8k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: Rails v2.3.8 文章标签: image ie html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/microad_liy/article/details/6733847
本文探讨了在IE6、IE7中,由于浏览器内容类型判断机制,导致图片(如bmp、png)可能引发的XSS攻击。当图片的magic bite与content_type不一致时,攻击尤为严重。对策包括禁止上传bmp图片,确保gif、jpeg、png的实际类型、后缀名和content_type一致,以及考虑用户是否已安装MS07-057补丁来防止PNG图片的XSS风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

发生image xss的条件

  ・ IE6、IE7

   ・图片的magic bite和content_type不一致   (解释①图片magic bite)

发生image xss的原因

  Ie在进行content种别判断时,不单考虑content_type,还根据content的内容进行判断。 (解释Content种别判断)

  下表是IE content种别判断和图片magic bite、content_tpe之间的关系表 



通过上表能明白以下三点:

①magic bite和content_type不一致的图片有可能发生xss攻击。

②对于bmp图片,不管magic bite和content_type是否一致,都有可能发生xss攻击。

③对于png图片,即使magic bite和content_type一致,如果没有安装MS07-057补丁,也有可能发生xss攻击。


对策

最低0.47元/天 解锁文章

200万优质内容无限畅学
image xss 4.能发动xss攻击图片的制作方法
microad_liy的专栏
09-01 7110
按照以下步骤,可以轻松制作出能发动xss攻击.gif、.jpg图片1。制作原始图片  图1 这里为什么设置背景色? 为了图7处加入js脚本后,js脚本能够被执行的成功率更高。(js被加到图片的comment区域的机会更大) 图2
web漏洞——XSS攻击原理及防御
weixin_43806577的博客
08-28 822
XSS漏洞介绍 跨站脚本(Cross-Site Script,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。 XSS漏洞危害: 挂马 盗取用户cookie DOS(拒绝服务)客户端浏览器 钓鱼攻击,高级钓鱼技巧 编写针对性的XSS病毒,删除目标文章,恶意篡改数据,...
图片XSS
不忘初心,护天下安全!
10-07 2012
参见:https://woj.app/1785.html
看我如何刷src的xss-文件上传导致的xss
qq_43121895的博客
05-15 307
绕过文件上传限制导致xss
图片引用功能导致的XSS漏洞
yggcwhat
09-29 3183
图片引用功能导致的XSS漏洞
浅析图片XSS中的哪些技术问题
weixin_33766805的博客
09-25 994
本文讲的是浅析图片XSS中的哪些技术问题,跨站请求漏洞是web漏洞中最普遍的漏洞,在特定的场景下可以造成很严重的破坏。可以让攻击者在受害者浏览器上执行一个恶意脚本,网络上关于这方面的文章已经很多了。 危害 想象下,如果我们能够在图片里直接插入JS脚本,并且在访问图片的时候能够触发这个脚本。那么我们就可以在网站文章下面的留言中上传图片,让用户不知不觉中招...
XSS攻击
summer_fish的专栏
04-11 2574
前端有哪几种攻击方式? XSS攻击 CSRF攻击 点击劫持 URL跳转漏洞 什么是XSS攻击XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。 XSS的本质:恶意代码未经过滤,与网站的正常代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在
xss高级利用
Coisini的博客
05-22 1764
本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文. 如果你还未具备基础XSS知识,以下几个文章建议拜读: http://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/ JavaScript中文简介 http://www....
原因分析改善对策用富文本编辑
最新发布
07-15
我们使用Django框架实现FACA记录系统,并希望为原因分析和改善对策字段添加富文本编辑功能。为了实现富文本编辑,我们可以使用Django的第三方库,例如django-ckeditor或django-tinymce。这里以django-ckeditor为例,...
图解HTTP十一:Web 的攻击技术
神薯片
06-15 2786
11.1 针对 Web 的攻击技术 11.1.1 HTTP 不具备必要的安全功能 从整体上看, HTTP 就是一个通用的单纯协议机制。因此它具备较多优势,但是在安全性方面则呈劣势。开发者需要自行设计并开发认证及会话管理功能来满足 Web 应用的安全。而自行设计就意味着会出现各种形形色色的实现。结果,安全等级并不完备,可仍在运作的 Web 应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的 Bug。 11.1.2 在客户端即可篡改请求 在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客
网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
热门推荐
TaneRoom的博客
11-08 2万+
记一次XSS实战攻击
xss2png:PNG IDAT块XSS有效负载生成器
05-04
xss2png 一个简单的工具,可以使用存储在PNG IDAT块中的XSS有效载荷生成PNG图像 非常感谢Nathaniel McHugh与我分享了他PHP源代码 用法 ~/$ python3 xss2png.py -p "[removed][removed]" -o xss.png ____ __ _____ ___|___ \ _ __ _ __ __ _ \ \/ / __/ __| __) | '_ \| '_ \ / _` | > <\__ \__ \/ __/| |_) | | | | (_| | /_/\_\___/___/_____| .__/|_| |_|\__, | |_| |_
image xss 3.ruby防止图片xss攻击的方法
microad_liy的专栏
08-31 1673
1、Rmagick插件中允许的content_type类型 \vendor\plugins\attachment_fu\lib\technoweenie\attachment_fu.rb 5~35行 image/jpeg | image/pjpeg | image/jpg
图片xss的利用方法
dhyi38680的博客
12-26 1575
  在使用类似ueditor这样的网页编辑器时,由于编辑器本身支持的源码编辑功能,如果过滤的不够完善,攻击者可以通过写入js来执行脚本语句,达成存储型xss的效果。   当然,如今的编辑器安全方面做的都已经相当不错,能够自动触发的恶意脚本已经是很难写入了,剩下还比较容易受控的,就是点击触发的外部链接了。前段时间,我就在尝试利用了外部链接进行csrf时,小伙伴提醒我可以尝试一下图片xss...
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
qq_56074599的博客
09-14 1448
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
XSS漏洞: new Image().src = 'javascript:alert(1)';
j10a的专栏
06-19 1055
百度空间改得都不知怎么用了,把一些以前的文章重新发过来 今天又发现了一个XSS,*_*, 给大家发下,引以为戒:   链接: http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=http://www.80vul.com&title=22222&summary=333&pics=javasc
XSS姿势——文件上传XSS
haha1314的博客
04-22 5754
XSS姿势——文件上传XSS 文件上传xss,一般都是上传html文件导致存储或者反射xss,一般文件内容都是html1、把以下代码写入文件,后缀改成图片格式。 <html> <body> <img src=1 onerror=alert(1)> </body> </html> 2、或者将后缀名改为htm...
Web安全-XSS漏洞
道阻且长,行则将至
01-07 8827
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在Web应用中的计算机安全漏洞,也是Web中最主流的攻击方式。那么什么是XSS呢?本文将进行学习、介绍。
exif xss 复现
shy的博客
03-12 2470
最近玩xss挑战玩到第14关,玩不下去了,因为第14关中的一个URL失效了。后面百度了一下,发现第14关是玩的是图片exif信息中xss,于是决定自己复现一下。 1,什么是exif 可交换图像文件格式(英语:Exchangeable image file format,官方简称Exif),是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。可使用鼠标右键进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值