1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlineshop: Web-Skimmer verstecken…

Geht auch mit Vektorgrafiken

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 11:39

    Da SVG theoretisch auch Inline `<script>` tags erlauben, ist hier auch XSS potentiell möglich. Kann jeder relativ schnell reproduzieren. Einfach ein SVG mit Inkscape erstellen, script tag nach dem `g` element einfügen mit z.B. einem `alert` und dann im Firefox öffnen -> boom.

    Edit: Titel von mir ist etwas irreführend, da ja in dem im Artikel verwendete Technik nicht auf script tags setzt. Jedoch denke ich, dass einige Seiten beim Upload die SVGs wie reguläre Bilder behandelt behandeln und ggf. XSS Gefahren dabei übersehen.



    1 mal bearbeitet, zuletzt am 26.06.20 11:54 durch jankapunkt.

  2. Re: Geht auch mit Vektorgrafiken

    Autor: Xiut 26.06.20 - 11:59

    Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Weil wenn man SVG Grafiken direkt ins HTML schreibt, muss man ja sowieso genau so vorsichtig sein, wie wenn man externes HTML einfach ausliefert. Aber das hat dann ja mit normalen Handling vom Grafiken nichts mehr zutun.

  3. Re: Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 12:07

    > Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Beim rendern der Seite wird es dann ignoriert, wenn du aber die Datei einzeln anzeigen lässt (Rechtsklick -> Grafik Anzeigen) wird es wiederum ausgeführt. Ist zwar etwas unwahrscheinlicher aber eben möglich.

    Es muss also beim Upload im post-processing bereits nach potentiellem JS gesucht werden, damit es nicht erst zum client gelangt.

  4. Re: Geht auch mit Vektorgrafiken

    Autor: M.P. 26.06.20 - 12:36

    Das beim Rechtsklick auf "Grafik Anzeigen" durch den Browser mehr getan wird, als die Grafik anzuzeigen halte ich für ein gravierendes Browser-Problem ....

    Da muss man sich ja fast freuen, dass ein in ein IMG-Tag verfrachtetes EXE nicht durch dem Browser direkt zur Ausführung gebracht wird, wenn man durch "Grafik Anzeigen" nur sehen will, warum diese blöde Grafik im Kontext der Seite nicht angezeigt wird ....



    1 mal bearbeitet, zuletzt am 26.06.20 12:37 durch M.P..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. NOVO Data Solutions GmbH & Co. KG, Bamberg
  2. Phoenix Contact Electronics GmbH, Bad Pyrmont
  3. FLYERALARM Digital GmbH, Berlin, Würzburg
  4. über duerenhoff GmbH, Raum Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. und Assassin's Creed Valhalla gratis erhalten
  2. 994,58€ (Bestpreis!)
  3. 1.656,19€ (Bestpreis!)
  4. (aktuell u. a. WD Blue SN550 NVMe 1 TB für 112,10€, Crucial MX500 1TB SSD für 98,45€, Seagate...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
KI-Startup
Regierung bestätigt Treffen mit Augustus Intelligence

Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
Ein Bericht von Friedhelm Greis

  1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
  2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
  3. KI Software erfindet Wörter und passende Definitionen dazu

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter