XSS攻擊中的破碎圖像

Question

許多網站都討論了破碎圖像是網頁源代碼中可能的XSS攻擊的良好警告信號。我的問題是爲什麼如此之多的攻擊者允許這種情況發生。看起來攻擊者使用iframe或unassuming圖片來隱藏他們的持久性腳本不會太麻煩。假設破碎圖像在XSS中非常常見，我可能會錯誤。謝謝您的幫助！

編輯：我認爲XSS在這種情況下可能是一個用詞不當。我明白爲什麼指向java腳本文件的圖像標記不會顯示，並且顯示太麻煩。我認爲我的問題更多地涉及上傳到帶有惡意代碼的服務器的文件實例。我想這實際上是第二個問題 - 實際上是XSS還是更像是服務器（通過OWASP術語）引用不安全的對象引用？

編輯：這是一個不錯的article詳細描述XSS。它提到了破碎的圖像，但它也討論瞭如何避免它們。我找不到任何文章提及破碎圖像的具體攻擊。我記得通過電子郵件瞭解了一些網絡釣魚攻擊（在這些情況下，您對於CSRF絕對正確，但Daniel。

Answer 1

您一直在閱讀的網站可能指的是跨站請求僞造攻擊（CSRF; CWE-352）因爲（1）瀏覽器自動加載圖像（所以瀏覽器自動爲訪問者發出HTTP請求）和（2）許多網站允許用戶將圖像添加到用戶貢獻內容

想象一下，一個網站允許用戶在博客上發表評論，博客軟件允許用戶通過指定圖片的URL來添加圖片到他們的評論中。通過請求某些URL來調用。例如，如果管理員「訪問」了/comments/delete/#（其中「＃」是要刪除的特定評論的ID），那麼任何以管理員身份登錄的人都可以刪除評論。惡意非管理員將無法通過訪問/comments/delete/7754刪除評論，評論7754，因爲他或她未通過身份驗證。但是，惡意用戶可能會嘗試添加一條新評論，其內容僅包含/comments/delete/7754處的「圖片」。如果管理員隨後查看評論（僅查看包含惡意用戶評論的頁面），則瀏覽器將自動請求/comments/delete/7754處的「圖片」。這可能事業評論7754，因爲管理員在登錄到被刪除。

刪除評論的這個例子給你一些CSRF攻擊是如何工作的想法，但要注意的是，效果可以有很多更險惡。我鏈接的CWE頁面引用了各種軟件的實際CSRF問題，這些軟件允許特權升級，網站設置操作以及創建新用戶等內容。此外，只需要所有管理員職務的POST不會使網站免於CSRF攻擊，因爲XSS攻擊可以動態地將特殊構造的form元素附加到文檔並以編程方式提交。