Zur Navigation

XSS Image Injection

1 chris1000

Hallo,

da ja jeder weiß das man XSS auch über hochgeladene Dateien einschleusen kann.

Würd mich intressieren wie Ihr das macht mit den Dateien von Usern?

Angeblich soll es ja nur den Internet Explorer betreffen, wenn in den ersten 256 Bytes von jpg/gif Dateien etc. HTML Code vorkommt stellt es auch als HTML dar.

In diesen Blog ist die Rede davon das man die ersten 256 Bytes von Dateien auf HTML Code untersuchen soll, reicht das den aus um dieses Sicherheitsloch zu schließen?

Danke

22.05.2008 01:19 | geändert: 22.05.2008 01:20

2 Jörg Kruse

Eine andere Möglichkeit ist es, die Datei neu zu schreiben, z.B. mit imagecreatefromgif() und ähnlichen Funktionen. Das kann allerdings bei häufigen Uploads mehr Serverlast erzeugen und gegebenenfalls könnte es auch Einbußen bei der Bildqualität geben.

In diesen Blog ist die Rede davon das man die ersten 256 Bytes von Dateien auf HTML Code untersuchen soll, reicht das den aus um dieses Sicherheitsloch zu schließen?

In Bezug auf die genannte XSS-Lücke im IE mag eine solche Überprüfung wohl ausreichen.

22.05.2008 09:13

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]