許多網站都討論了破碎圖像是網頁源代碼中可能的XSS攻擊的良好警告信號。我的問題是爲什麼如此之多的攻擊者允許這種情況發生。看起來攻擊者使用iframe或unassuming圖片來隱藏他們的持久性腳本不會太麻煩。假設破碎圖像在XSS中非常常見,我可能會錯誤。謝謝您的幫助!XSS攻擊中的破碎圖像
編輯:我認爲XSS在這種情況下可能是一個用詞不當。我明白爲什麼指向java腳本文件的圖像標記不會顯示,並且顯示太麻煩。我認爲我的問題更多地涉及上傳到帶有惡意代碼的服務器的文件實例。我想這實際上是第二個問題 - 實際上是XSS還是更像是服務器(通過OWASP術語)引用不安全的對象引用?
編輯:這是一個不錯的article詳細描述XSS。它提到了破碎的圖像,但它也討論瞭如何避免它們。我找不到任何文章提及破碎圖像的具體攻擊。我記得通過電子郵件瞭解了一些網絡釣魚攻擊(在這些情況下,您對於CSRF絕對正確,但Daniel。
您是否會添加指向您的問題的一些頁面的鏈接? – 2010-07-15 23:17:53