Estoy probando mi aplicación en busca de vulnerabilidades de seguridad. He insertado javascript en un gif y lo subí a la aplicación. La aplicación carga la imagen en la etiqueta <img> . La secuencia de comandos se ejecuta solo si la imagen se proporciona como fuente en <script> . ¿Hay alguna otra forma de cargar el script en la imagen?
Históricamente, ha sido posible, como el caso malware GIFAR de hace una década.
Pero a partir de ahora con los navegadores web modernos, no hay manera. Ha sido parcheado para evitar que las imágenes políglotas se ejecuten a voluntad. <img> solo leerá y emitirá la imagen como una imagen, independientemente del tipo de contenido de la página en sí (solía tener prioridad).
Sin embargo, es posible que desee saber que es posible realizar una inyección XML utilizando un archivo svg . XSS no será posible siempre y cuando mantengas la etiqueta <img> , pero XXE puede ocurrir.
Es difícil en los navegadores actuales obtener un navegador para ejecutar javascript cuando se sirve en otro tipo mime / incrustado en una etiqueta de imagen.
IE puede ser vulnerable si permite el acceso a la imagen directamente (pruebe la URL directa) y no aprovecha los encabezados "nosniff": "X-Content-Type-Type: nosniff" header
Pero hay muchas cosas de las que debe preocuparse si permite que se cargue contenido que no sea de confianza. Consulte ¿Tiene X-Content-Type-Options realmente? ¿previene los ataques de rastreo de contenido? para obtener un buen resumen de los problemas al permitir subir archivos a su sitio.
Práctica recomendada: si puede, sirva contenido de usuario de un dominio separado.
Lea otras preguntas en las etiquetas web-application xss