it-swarm.com.de

Gibt es eine Möglichkeit, XSS in einem HTML-IMG-Tag mit SVG auszuführen?

Gibt es eine funktionierende Technik, um XSS in modernen Browsern mithilfe einer SVG-Datei auszuführen, die auf einer Webseite mit einem <img src=""> - Tag angezeigt wird?

Ich kenne eine Möglichkeit, ohne <script> -Tag auszuführen, aber ich weiß nicht, wie ich eine Datei mit SVG oder etwas anderem laden soll, da XML kaputt geht, wenn ich versuche, verschiedene Tags zu verwenden, damit mein XSS funktioniert.

Ist das tatsächlich möglich?

5
Mega

Nein, ist es nicht. Obwohl SVG-Dateien JS enthalten können (siehe this ), werden diese nur ausgeführt, wenn:

  1. der Benutzer besucht direkt die Datei .svg in seinem Browser
  2. das Bild ist in <embed> - Tags eingebettet.

Moderne Browser führen niemals Skripte in SVGs aus, wenn sie sich innerhalb von <img> - Tags befinden.

Und selbst in den beiden oben genannten Fällen kann der Server CSP-Header bereitstellen, die die Ausführung solcher Skripte stoppen.

6
undo