pngfix.js可能导致xss攻击

最新推荐文章于 2024-06-09 09:58:32 发布

weixin_33881140

最新推荐文章于 2024-06-09 09:58:32 发布

阅读量110

点赞数

今天看了国外大佬Spanner的一篇关于pngfix的文章，已经到下班时间，就简单说说pngfix的xss攻击。

pngfix.js

pngfix.js是IE6中解决png不透明的js方案，原理其实就是遍历了页面的img，然后使用滤镜来解决。

pngfix导致xss

pngfix.js使用了如下的代码：

var imgID = (img.id) ? "id='" + img.id + "' " : "";   img.outerHTML = strNewHTML

如果使用如下的代码就会出现xss：

<img src=1.png id="'&gt;&lt;img src=1 οnerrοr=alert(/png_fixed!/)&gt;">

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33881140

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

HTTP 以及 HTTPS （对称加密和非对称加密的综合使用）知识点总结归纳

悟已往之不谏，知来者之可追

02-01

187

HTTP HTTP 一、基础概念请求和响应报文 URL 二、HTTP 方法 GET HEAD POST PUT PATCH DELETE OPTIONS CONNECT TRACE 三、HTTP 状态码 1XX 信息 2XX 成功 3XX 重定向 4XX 客户端错误 5XX 服务器错误四、HTTP 首部通用首部字段请求首部字段响应首部字段实体首部字段五、具体应用连接管理 Cookie 缓存内容协商内容编码范围请求分块传输编码多部分对象集合虚拟主机

[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP（文件上传漏洞、冰蝎蚁剑、反序列化phar）

杨秀璋的专栏

05-30

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF部分题目，包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路，详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF，还是学到了很多东西，后面几天忙于其他事情，就没再参加。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢网安学院，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

参与评论您还未登录，请先登录后发表或查看评论

pngFix.js下载解决PNG透明问题

05-11

摘要:脚本资源,Ajax/JavaScript,pngFix.js 运行环境：HTML/PHP/ASP/

pngfix.js 修复 PNG problem in Windows Internet Explorer

︶ㄣ煋夜宸べ

12-14

[size=medium] PNG最大的问题就是，它在IE6下无法显示透明区域（Firefox、Opera、Safari均支持 PNG透明），会有一种灰白色代替成为其背景色。这不是PNG这个格式图片的问题，而是IE6的BUG，没有将PNG的Alpha通道打开,造成透明 PNG图片的在IE6上显示不出透明区域。点击链接查看具体详情：[url="http://blog.lixiphp....

PNG in IE - 1 - pngfix.js

weixin_33920401的博客

07-05

PNG = Portable Network Graphic 以下信息来自http://zh.wikipedia.org/wiki/PNG 文件扩展名:.pngMIME类型:image/png开发者:W3C格式类型:位图图像文件格式扩展到:APNG、JNG和MNG PNG是一种非失真性壓縮位图图形文件格式。PNG格式是非失真性壓縮的，允许使用类似于GIF格式的调色板技术，支持真彩色图像，并具备阿...

fixpng插件

明亮的专栏

10-05

1098

(function($){ $.fn.fixpng=function(options){ var opts=$.extend({},$.fixpng.defaults,options); var version = parseFloat(navigator.appVersion.split("MSIE")[1]); if ((opts.allIE || (version >=

Android就是这么简单！点击PNG图片就可能遭远程攻击

weixin_34037977的博客

02-11

100

2019独角兽企业重金招聘Python工程师标准>>> ...

前端2020面试题195道

热门推荐

weijieyuhyt的博客

01-13

1万+

HTML5面试题一、 Doctype的作用? 严格模式和混杂模式的区分，以及如何触发这2种模式? <!DOCTYPE> 声明位于文档中的最前面，处于标签之前。告知浏览器的解析器，用什么文档类型规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。严格模式就是浏览器根据web标准去解析页面，是一种要求严格的DTD，不允许使用任何表现层的语法，混杂模式...

常见漏洞原理简介

qq_48626285的博客

09-15

9893

今天复习上个月学的漏洞的知识点。 SQL注入漏洞 sql注入是就是通过把SQL语句插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。如何通过进行sql注入，进后台？ &nbsp

Vue基础6天实施笔记

weixin_44867717的博客

02-09

1924

Vue 基础课程课程介绍 Vue基础语法指令、过滤器、按键修饰符、生命周期、自定义指令、computed计算属性、watch监听器 axios、ES6模块化、组件、vue单文件组件、WebStorage SPA单页应用、router路由、Promise VueCLI脚手架、element-ui组件库、eslint代码规范检测等等 vue介绍三大前端框架 Vue Vue.js (view)是一...

Png图片透明效果,基于jquery.pngFix.js实现.rar

07-09

基于jQuery为核心的，兼容IE5.5及以上版本浏览器的PNG透明插件，细心的朋友会发现，在IE5.5与IE6.0中，PNG会显示灰色的背景，而不是透明的背景，有些人误认为是PNG图像的问题，在图像软件中任凭怎么调整都解决不了问题，其实问题出在浏览器身上，IE7及以上版本已解决了PNG透明问题，但现在仍有不少用户在使用IE6及以下版本，因此如果想让你的PNG图像在多种浏览器下都表现良好，本插件可帮你解决问题，附有使用示例。

unitpngfix.js 解决PNG图片咋IE6不兼容JS

08-22

unitpngfix.js 解决PNG图片咋IE6不兼容JS 使用方法在包里面有说明文件但是建议大家不要下，因为IE6是应该淘汰的东西了。望大家都支持浏览器升级。 PS：有些客户死脑袋木有办法，所以还是有需要的。

xss2png:PNG IDAT块XSS有效负载生成器

05-04

xss2png 一个简单的工具，可以使用存储在PNG IDAT块中的XSS有效载荷生成PNG图像非常感谢Nathaniel McHugh与我分享了他PHP源代码用法 ~/$ python3 xss2png.py -p "[removed][removed]" -o xss.png ____ __ _____ ___|___ \ _ __ _ __ __ _ \ \/ / __/ __| __) | '_ \| '_ \ / _` | > <\__ \__ \/ __/| |_) | | | | (_| | /_/\_\___/___/_____| .__/|_| |_|\__, | |_| |_

第35款插件:第29款插件：jquery.pngFix.js对IE6的PNG图片处理插件

skace的专栏

01-20

1474

描述：jquery.pngFix.js 基于jQuery为核心的，兼容IE5.5及以上版本浏览器的PNG透明插件，细心的朋友会发现，在IE5.5与IE6.0中，PNG会显示灰色的背景，而不是透明的背景，有些人误认为是PNG图像的问题，在图像软件中任凭怎么调整都解决不了问题，其实问题出在浏览器身上，IE7及以上版本已解决了PNG透明问题，但现在仍有不少用户在使用IE6及以下版本，因此如果想让你的

【css】jquery.pngFix.js解决透明问题

weixin_34007879的博客

06-24

325

/** * -------------------------------------------------------------------- * jQuery-Plugin "pngFix" * Version: 1.2, 09.03.2009 * by Andreas Eberhard, andreas.eberhard@gmail.com * ...

探索安全新领域：xss2png - 将XSS注入伪装成PNG图片的工具

最新发布

gitblog_00087的博客

06-09

699

探索安全新领域：xss2png - 将XSS注入伪装成PNG图片的工具 xss2pngPNG IDAT chunks XSS payload generator项目地址:https://gitcode.com/gh_mirrors/xs/xss2png 在网络安全的世界中，创新和探索是永不停歇的主题。今天，我们要向您介绍一款名为xss2png的独特开源工具，它将XSS（跨站脚本攻击）payloa...

image xss 1.图片发生xss攻击的条件、原因及对策

microad_liy的专栏

08-30

8591

发生image xss的条件・ IE6、IE7 ・图片的magic bite和content_type不一致 (解释①图片magic bite) 发生image xss的原因 Ie在进行content种别判断时，不单考虑content_type,还

跨站脚本攻击之xss手动版

weixin_47726676的博客

05-12

702

定义 Cross-site scripting (XSS):跨站脚本是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。类型存储型（持久型）跨站脚本可注入服务器的文件系统或数据库–引诱用户访问相关链接（貌似被用户信任的网站）–被攻击用户访问相关页面（采用特定URL参数）时，恶意代码下载到浏览器并执行。反射型（非持久型）跨站脚本包含在向网站提交内容的相关字段中–该字段将被服务器在返回页面中包含，相关字段中的跨站脚本将在浏览器端执行。–被攻击用户访

解决IE6中 PNG不透明的问题

炉火纯青

08-11

2016

相信很多朋友在制作网页时都会用到图片透明。使其部分透明的图片后面显示背景部分。而现在流行的具有透明性的图片有GIF和PNG两种非常普及格式。 GIF和PNG GIF(Graphics Interchange Format图像互换格式)可实现图像区域的部分或全局透明。现非常

SpringBoot2.x使用Jsoup防范XSS攻击实战

这可能导致信息泄露、身份盗用、以及对用户数据的非法访问。二、安全准则 1. 不信任任何用户输入：所有来自用户的数据都应视为不安全，必须进行验证和清理。 2. 对用户提交的内容进行严格的过滤和编码，确保只有...