This topic created in 4695 days ago, the information mentioned may be changed or developed.
 |
1
lhx2008 Jul 30, 2013  1
感觉是木有可能的说,那个网页也看不清,有没有只有一张图片的演示
|
 |
2
zorceta Jul 30, 2013 1
应该是因为在IEND标记之后浏览器直接从二进制解析转向HTML解析.
|
 |
4
hzlzh OP PRO |
 |
5
xhacker Jul 30, 2013
你这个看 hex 的插件是什么?
|
 |
6
fen Jul 30, 2013
关注,顺便求插件名
|
 |
10
tokki Jul 30, 2013
这个啊。。 貌似很巧妙啊 他利用你的程序读图片的exif信息的时候 把代码注入到网页上 挂马了等于
学了一招 |
 |
14
shenyuanv Jul 31, 2013
@tokki 这个是针对特定浏览器的漏洞而进行攻击的吗?感觉服务器只会把整个图片链接挂到HTML上啊,iframe挂在网页上的原理是什么呢?求大神解答
|
|
15
tokki Jul 31, 2013
不是针对特定浏览器的,这个是xss,这个漏洞具体我不清楚,我看截图是一个iframe代码
我这样想的 1网站上有显示图片exif信息的页面,这个页面是用php把图片的exif信息读出来 2通常人们都会对request的信息进行一些处理,可是exif信息容易被忽略,如果没有处理的话,用户访问对应页面的时候exif的信息包含iframe的代码就能执行了 3iframe执行的时候就已经能用当前访问的用户的身份了执行操作 之前还有看过利用cookie来xss的 总之都是很巧妙的思路 任何客户端的数据都需要处理处理才可以显示 |
 |
17
rrfeng Jul 31, 2013
@timonwong
具体怎么操作? st3 安装了 package control ,用它装了 hexviewer,查看的话是单个文件的形式 怎么能通过简单的方式 切换到 st3 分支? 我知道可以直接 git 回来 ,不过很不方便啊 |
 |
18
timonwong Jul 31, 2013
@rrfeng
目前只能手动git了(先卸载掉那个Package, 然后 git clone -b ST3 {repourl}),Package Control仍然可以接管更新(Upgrade的时候会调用git pull )。 |
 |
19
clowwindy Jul 31, 2013
png 可以嵌 iframe 的功能目前只有 IE 一个浏览器支持。
|
Select Language