1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlineshop: Web-Skimmer verstecken…

Geht auch mit Vektorgrafiken

  1. Thema

Neues Thema Ansicht wechseln


  1. Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 11:39

    Da SVG theoretisch auch Inline `<script>` tags erlauben, ist hier auch XSS potentiell möglich. Kann jeder relativ schnell reproduzieren. Einfach ein SVG mit Inkscape erstellen, script tag nach dem `g` element einfügen mit z.B. einem `alert` und dann im Firefox öffnen -> boom.

    Edit: Titel von mir ist etwas irreführend, da ja in dem im Artikel verwendete Technik nicht auf script tags setzt. Jedoch denke ich, dass einige Seiten beim Upload die SVGs wie reguläre Bilder behandelt behandeln und ggf. XSS Gefahren dabei übersehen.



    1 mal bearbeitet, zuletzt am 26.06.20 11:54 durch jankapunkt.

  2. Re: Geht auch mit Vektorgrafiken

    Autor: Xiut 26.06.20 - 11:59

    Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Weil wenn man SVG Grafiken direkt ins HTML schreibt, muss man ja sowieso genau so vorsichtig sein, wie wenn man externes HTML einfach ausliefert. Aber das hat dann ja mit normalen Handling vom Grafiken nichts mehr zutun.

  3. Re: Geht auch mit Vektorgrafiken

    Autor: jankapunkt 26.06.20 - 12:07

    > Aber das dürfte nicht der Fall sein, wenn man die SVG per Image Tag einbindet, oder?

    Beim rendern der Seite wird es dann ignoriert, wenn du aber die Datei einzeln anzeigen lässt (Rechtsklick -> Grafik Anzeigen) wird es wiederum ausgeführt. Ist zwar etwas unwahrscheinlicher aber eben möglich.

    Es muss also beim Upload im post-processing bereits nach potentiellem JS gesucht werden, damit es nicht erst zum client gelangt.

  4. Re: Geht auch mit Vektorgrafiken

    Autor: M.P. 26.06.20 - 12:36

    Das beim Rechtsklick auf "Grafik Anzeigen" durch den Browser mehr getan wird, als die Grafik anzuzeigen halte ich für ein gravierendes Browser-Problem ....

    Da muss man sich ja fast freuen, dass ein in ein IMG-Tag verfrachtetes EXE nicht durch dem Browser direkt zur Ausführung gebracht wird, wenn man durch "Grafik Anzeigen" nur sehen will, warum diese blöde Grafik im Kontext der Seite nicht angezeigt wird ....



    1 mal bearbeitet, zuletzt am 26.06.20 12:37 durch M.P..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Raum Düsseldorf
  2. DAW SE, Ober-Ramstadt
  3. Holtzmann & Sohn GmbH, Ronnenberg
  4. Allianz Deutschland AG, München Unterföhring

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Magenta Telekom: Telekom baut ihr Kabelnetz weiter mit Docsis 3.1 aus
    Magenta Telekom
    Telekom baut ihr Kabelnetz weiter mit Docsis 3.1 aus

    Rund 66.000 Haushalte können nun im Netz der Telekom 1 GBit/s nutzen. Die Übernahme des Kabelnetzes in Österreich zahlt sich aus, auch wenn sich der Telekom-Chef in Deutschland über Koaxkabel beklagt.

  2. Polizei: Zugriff auf Corona-Gästelisten nur bei Mord und Totschlag
    Polizei
    Zugriff auf Corona-Gästelisten nur bei Mord und Totschlag

    Ein Bundesgesetz soll den Zugriff auf die Corona-Gästelisten beschränken. Das fordert der rheinland-pfälzische Datenschutzbeauftragte.

  3. Boeing: FAA nennt Anforderungen für die Wiederzulassung der 737 Max
    Boeing
    FAA nennt Anforderungen für die Wiederzulassung der 737 Max

    Boeing muss die Software überarbeiten und zwei Kabel anders verlegen, bevor die Flugzeuge von Typ 737 Max wieder starten dürfen.


  1. 16:27

  2. 16:07

  3. 15:52

  4. 15:36

  5. 14:38

  6. 14:13

  7. 13:58

  8. 13:00