Опасности SVG-файлов: малоизвестный вектор для XSS-атак
25 февраля 2023 г.Межсайтовый скриптинг (XSS) – это тип уязвимости системы безопасности, часто встречающийся в веб-приложениях. Злоумышленники используют уязвимости XSS для внедрения вредоносного кода на сайт, который затем может быть выполнен на сервере или в браузерах других пользователей. Хотя современные веб-фреймворки, такие как Ruby on Rails и Phoenix, предлагают встроенную защиту от основных атак XSS, XSS по-прежнему остается распространенной угрозой, которая может скомпрометировать конфиденциальные пользовательские данные.
Наиболее распространенный тип XSS-атаки возникает, когда веб-приложение не может должным образом очистить вводимые пользователем данные перед их отображением другим пользователям. Когда сайт не может правильно обрабатывать пользовательский ввод, злоумышленники могут внедрить HTML-код, что может быть особенно опасно, если это вредоносный код JavaScript. Если злоумышленник успешно внедряет код JavaScript на сайт, он может перехватить сеансы пользователей, украсть файлы cookie и даже отправить пароли на внешние серверы.
Файлы SVG
Одним из менее известных векторов XSS-атак является формат изображения SVG. SVG поддерживают JavaScript с помощью
Оригинал