我想在图片(png, jpg或gif)文件中放置iframe代码。这在某种程度上是可能的?
我想把这个iframe代码,这是加载一个网站在0X0像素:
<iframe src="http://test.com" height="0" width="0" frameborder="0" scrolling="no">
</iframe>
我正在阅读这篇描述一个新漏洞的文章:
http://threatpost.com/png-image-metadata-leading-to-iframe-injections/104047所以基本上,我想要一个工作的例子,一个可以加载一个网站在0X0像素当有人访问这个图像url。
简短的答案是no如果你想创建一个img文件,当<img> HTML标签加载时,插入任意Javascript或HTML代码到一个网站,没有任何其他辅助代码运行。
但简短的答案是是,如果网站已经有恶意或行为不良的代码来解码有效载荷,你可以创建一个img文件来做这些事情。
文章中的报告是不是非常新的也不是威胁,考虑到任何可点击的javascript:链接都可以包含类似的字符串编码材料。
本文中的示例要求网站已经加载了单一用途的Javascript helper代码。
我想复制代码在这里,但张贴的链接包含代码的图像,而不是文本,我们应该尊重他们作品的版权。
代码的第24行从img中获取原始数据,第28-31行解码img数据中的文本有效载荷,通过javascript将其组装为字符串strData,可以包含HTML iframe语句,并且可以将其添加到网页中,但在此代码中调用回调(第34行)或警告它(第49行)因此看起来更像是一个演示而不是攻击。
这样的东西已经存在,尽管它们通常被重定向到垃圾邮件发送者的网站。
这样的有效载荷可以隐藏在任何长字符串中,并通过各种简单的方法进行编码和解码。
在网站中隐藏0x0 iframe听起来像是点击欺诈付费点击广告计划的配方,而不是直接欺骗消费者。当iframe被加载时,大多数服务器将显示它被嵌入的站点的引用,它看起来类似于链接点击。