许多网站都讨论了破碎图像是网页源代码中可能的XSS攻击的良好警告信号。我的问题是为什么如此之多的攻击者允许这种情况发生。看起来攻击者使用iframe或unassuming图片来隐藏他们的持久性脚本不会太麻烦。假设破碎图像在XSS中非常常见,我可能会错误。谢谢您的帮助!XSS攻击中的破碎图像
编辑:我认为XSS在这种情况下可能是一个用词不当。我明白为什么指向java脚本文件的图像标记不会显示,并且显示太麻烦。我认为我的问题更多地涉及上传到带有恶意代码的服务器的文件实例。我想这实际上是第二个问题 - 实际上是XSS还是更像是服务器(通过OWASP术语)引用不安全的对象引用?
编辑:这是一个不错的article详细描述XSS。它提到了破碎的图像,但它也讨论了如何避免它们。我找不到任何文章提及破碎图像的具体攻击。我记得通过电子邮件了解了一些网络钓鱼攻击(在这些情况下,您对于CSRF绝对正确,但Daniel。
您是否会添加指向您的问题的一些页面的链接? – 2010-07-15 23:17:53