tag:blogger.com,1999:blog-4444008401857088382.post6332577487137590740..comments2023-10-14T14:38:26.602+02:00Comments on OWASP Sweden: Är det JavaScript eller en GIF?John Wilanderhttp://www.blogger.com/profile/12586406716617551079noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-4444008401857088382.post-74859159594379347552009-03-30T23:11:00.000+02:002009-03-30T23:11:00.000+02:00Jag tänker typ:Webbappen tillåter bara korrekta bi...Jag tänker typ:<BR/>Webbappen tillåter bara korrekta bildfiler att laddas upp. GIF:en från killen på Google <I>är</I> en korrekt GIF.<BR/><BR/>Sen enforce:ar sajten att skript bara får laddas från den egna domänen. Bra - attackeraren har ju laddat upp en GIF med skript.<BR/><BR/>Detaljerna är inte superviktiga eftersom det finns extremt många skumma sätt att hantera uppladdning och tillåtna skript -- i ramverk såväl som hemmahack.<BR/><BR/>Ett av grundproblemen inom datasäkerhet är blandningen av data och kod i samma minnesstruktur. Där hittar man buffer overflow med injicerad kod. Där hittar man SQL-injektion.<BR/><BR/>Att en GIF kan innehålla kod är således farligt. I alla fall enligt mig.John Wilanderhttps://www.blogger.com/profile/12586406716617551079noreply@blogger.comtag:blogger.com,1999:blog-4444008401857088382.post-35828756104955293022009-03-30T18:41:00.000+02:002009-03-30T18:41:00.000+02:00Sedan när spelar det roll var JS hostas? Om jag in...Sedan när spelar det roll var JS hostas? Om jag injicera en script tag i din HTML så behöver jag inte peka på din site, utan kan ladda koden från vilken URL som helst.<BR/><BR/>Visst kan det finnas galna tillämpningar där man bara kan trycka in en relativ URI i en script-tags src-attribut, men att säga att det är allmänt farligt är väl att ta i?Anonymoushttps://www.blogger.com/profile/15907875633885432871noreply@blogger.com