开源工具使研究人员可以在多态性图像中试用其XSS有效载荷
一种用于测试多态性有效性的新开源工具跨站脚本((XSS)在流行的基于Web的图像处理库中的有效载荷用于在Gbeplay体育能用吗oogle Scholar中戳孔。在此过程中,黑客攻击了安全研究人员10,000美元。
多态性图像文件是包含其他嵌入式代码的文件。该代码可以在文件标头中,在图像文件的末尾或图像元数据中串联。
研究人员有先前显示的(PDF)如何使用多态图像来掩盖Web安全功能 - 特别是基于JavaScript的XSS有效载荷,当beplay体育能用吗通过脚本标签在浏览器中渲染时,可以使用它们来妥协访问用户。
成功地执行基于图像的利用通常远非直接,尤其是因为在图像上传过程中进行的调整过程通常会破坏有效负载。
此外,为了阻止希望在图像文件中走私恶意代码的攻击者的努力,基于Web的图像处理库通常会尝试剥离任何元数据并在上传时重新处理图片。beplay体育能用吗
但是,Doyensec的安全研究人员表明,这些缓解并不总是水密度以及如何调整图像文件,以确保多态有效载荷能够幸存任何处理。
开源测试套件
Doyensec上周正式推出了标准化图像处理测试套件- 一种开源工具,允许安全研究人员在本地测试其多态性图像有效载荷。
该工具目前支持四个流行的图像处理库:干预,想象,最小化和锋利。
“测试套件是探索最受欢迎的图像处理库之间差异的第一步,” Doyensec的洛伦佐·斯特拉(Lorenzo Stella)告诉每日swbeplay2018官网ig。
“许多安全的图像上传库已经执行了各种检查,例如验证图像文件格式,启发性检查部分中是否有不需要的字节或清洁Exif的元数据。
“我们的工具可以促进在图像上传服务实施的安全检查中发现旁路的繁琐工作,因此我们希望其他研究人员在安全测试工作或错误赏金期间利用该工具。”
Google Scholar,受过教育
斯特拉(Stella)展示了图像处理测试套件的功能,将他的努力集中在Google Scholar,学术搜索引擎上。
Stella解释说:“我创建的第一个有效载荷是嵌入了'onClick'事件触发器,而第二个有效载荷('MouseOver')是VRP [Google的漏洞奖励计划]团队的更明显的POC。”
Google为这位研究人员授予了近6,300美元的发现,并在使用其他地方使用相同的技术找到了另一个XSS脆弱性后,将其额外增加了3,100美元。
Doyensec在A中提供了全面的Google Scholar漏洞博客文章。
