XSS攻击中的破碎图像

Question

许多网站都讨论了破碎图像是网页源代码中可能的XSS攻击的良好警告信号。我的问题是为什么如此之多的攻击者允许这种情况发生。看起来攻击者使用iframe或unassuming图片来隐藏他们的持久性脚本不会太麻烦。假设破碎图像在XSS中非常常见，我可能会错误。谢谢您的帮助！

编辑：我认为XSS在这种情况下可能是一个用词不当。我明白为什么指向java脚本文件的图像标记不会显示，并且显示太麻烦。我认为我的问题更多地涉及上传到带有恶意代码的服务器的文件实例。我想这实际上是第二个问题 - 实际上是XSS还是更像是服务器（通过OWASP术语）引用不安全的对象引用？

编辑：这是一个不错的article详细描述XSS。它提到了破碎的图像，但它也讨论了如何避免它们。我找不到任何文章提及破碎图像的具体攻击。我记得通过电子邮件了解了一些网络钓鱼攻击（在这些情况下，您对于CSRF绝对正确，但Daniel。

Answer 1

您一直在阅读的网站可能指的是跨站请求伪造攻击（CSRF; CWE-352）因为（1）浏览器自动加载图像（所以浏览器自动为访问者发出HTTP请求）和（2）许多网站允许用户将图像添加到用户贡献内容

想象一下，一个网站允许用户在博客上发表评论，博客软件允许用户通过指定图片的URL来添加图片到他们的评论中。通过请求某些URL来调用。例如，如果管理员“访问”了/comments/delete/#（其中“＃”是要删除的特定评论的ID），那么任何以管理员身份登录的人都可以删除评论。恶意非管理员将无法通过访问/comments/delete/7754删除评论，评论7754，因为他或她未通过身份验证。但是，恶意用户可能会尝试添加一条新评论，其内容仅包含/comments/delete/7754处的“图片”。如果管理员随后查看评论（仅查看包含恶意用户评论的页面），则浏览器将自动请求/comments/delete/7754处的“图片”。这可能事业评论7754，因为管理员在登录到被删除。

删除评论的这个例子给你一些CSRF攻击是如何工作的想法，但要注意的是，效果可以有很多更险恶。我链接的CWE页面引用了各种软件的实际CSRF问题，这些软件允许特权升级，网站设置操作以及创建新用户等内容。此外，只需要所有管理员职务的POST不会使网站免于CSRF攻击，因为XSS攻击可以动态地将特殊构造的form元素附加到文档并以编程方式提交。