1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlineshop: Web-Skimmer verstecken…

Geht auch mit Vektorgrafiken

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 11:39

    Da SVG theoretisch auch Inline `<script>` tags erlauben, ist hier auch XSS potentiell möglich. Kann jeder relativ schnell reproduzieren. Einfach ein SVG mit Inkscape erstellen, script tag nach dem `g` element einfügen mit z.B. einem `alert` und dann im Firefox öffnen -> boom.

    Edit: Titel von mir ist etwas irreführend, da ja in dem im Artikel verwendete Technik nicht auf script tags setzt. Jedoch denke ich, dass einige Seiten beim Upload die SVGs wie reguläre Bilder behandelt behandeln und ggf. XSS Gefahren dabei übersehen.



    1 mal bearbeitet, zuletzt am 26.06.20 11:54 durch jankapunkt.

  2. Re: Geht auch mit Vektorgrafiken

    Autor: Xiut 26.06.20 - 11:59

    Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Weil wenn man SVG Grafiken direkt ins HTML schreibt, muss man ja sowieso genau so vorsichtig sein, wie wenn man externes HTML einfach ausliefert. Aber das hat dann ja mit normalen Handling vom Grafiken nichts mehr zutun.

  3. Re: Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 12:07

    > Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Beim rendern der Seite wird es dann ignoriert, wenn du aber die Datei einzeln anzeigen lässt (Rechtsklick -> Grafik Anzeigen) wird es wiederum ausgeführt. Ist zwar etwas unwahrscheinlicher aber eben möglich.

    Es muss also beim Upload im post-processing bereits nach potentiellem JS gesucht werden, damit es nicht erst zum client gelangt.

  4. Re: Geht auch mit Vektorgrafiken

    Autor: M.P. 26.06.20 - 12:36

    Das beim Rechtsklick auf "Grafik Anzeigen" durch den Browser mehr getan wird, als die Grafik anzuzeigen halte ich für ein gravierendes Browser-Problem ....

    Da muss man sich ja fast freuen, dass ein in ein IMG-Tag verfrachtetes EXE nicht durch dem Browser direkt zur Ausführung gebracht wird, wenn man durch "Grafik Anzeigen" nur sehen will, warum diese blöde Grafik im Kontext der Seite nicht angezeigt wird ....



    1 mal bearbeitet, zuletzt am 26.06.20 12:37 durch M.P..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. Bundeskriminalamt, Wiesbaden
  3. ifp ? Personalberatung Managementdiagnostik, Rheinland
  4. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,49€
  2. (u. a. Standard Edition PC für 44,99€, Xbox One / Series S/X für 62,99€, Deluxe Edition PC...
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme