标题 简介 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2551]   作者:lys 发表于[2020-01-18]

本文共 [12] 位读者顶过

[出自:jiwo.org]

exif介绍:

可交换图像文件格式(英语:Exchangeable image file format,官方简称Exif),是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。


exif xss 简单来讲就是利用exif信息实现xss攻击。


原理:

1.代码示例

先举个简单的例子,可以在未3cschool上测试一下:

代码测试地址:https://www.w3school.com.cn/tiy/t.asp?f=html_image_src

测试代码:


<html>

<body>

<p>
郁金香:
<img src=1 onerror='alert(111)'/>
</p>

<p>
月季花:
<img src="/i/eg_chinarose.jpg" />
</p>

<p>src 属性用于指定图像文件的 URL。上面的例子使用了相对路径,你甚至可以通过使用绝对路径来引用外部图像(比如另一个服务器上的图像)。</p>

</body>
</html>

结果:



2.exif 信息 及修改exif信息介绍

eixf字段信息:字段中英对照及代表含义自行百度。

通过exiftool 及exiftoolGUI进行字段修改,如下图这样我们就可以看到图片的exif信息 一般包括 创建时间 经纬度 曝光 作者等等


下面我们随便挑几个字段进行修改保存 

"<img src=1 onerror=alert(document.domain)>'

"<img src=1 onerror=alert(document.URL)>'

"<img src=1 onerror=alert(document.title)>'

"<img src=1 onerror='alert(111)'>'

然后保存即可。

实战案例:


评论

暂无
发表评论
 返回顶部 
热度(12)
 关注微信