Можно ли через картинку совершить XSS атаку?

Question

[Lenskii]

Можно ли внедрить что-либо в картинку?
Вывожу ее с базы примерно так:

<img style="width: 100%;" src="data:image/jpeg;base64,'.base64_encode( $f['img'] ).'"/>

Безопасно ли это?

Comments

[MikUrrey]

Здравствуйте! В jpeg - вряд ли. Когда-то печально известный браузер умел выполнять скрипты, зашитые в конец картинки. Сейчас такое искоренили. Правда, есть формат svg, вот там, возможно, все не так просто.

[twobomb]

А где тут SQL и почему нет?

Answer 1

[Stalker_RED]

В base64 используются символы A-Z, a-z, 0-9, +, / и =.
То есть строка в base64 не может ни закрыть тег ни даже кавычки.

И у вас какое-то очень странное представление о SQL, вы бы хоть почитали что это такое.

Comments

[Yupiter7575]

человек не правильно задал вопрос. Если я правильно понял по прошлому вопросу, он спрашивает можно ли как то через загрузку картинки на сервер совершить XSS атаку

[Lenskii]

Yupiter7575, Да, я щас на панике) Пишу что думаю, не фильтрую

[Yupiter7575]

Lenskii, strip tags и htmlspecialchars достаточно чтобы устранить 99% XSS атак. Никогда ни видел чтобы атаковали через картинки

[rPman]

в имени файла есть атаки, если файлы хранятся в файлах и в имени не проверяется .. и /

[Stalker_RED]

Yupiter7575, в теории можно сделать такой бинарник, который при конвертации в base64 выведет осмысленный текст.

echo base64_encode(hex2bin('1de965a3e4e8b2d7ab'));
//--> Hello+Toster

Но даже если мы пропустим вопрос, откуда такой бинарник взялся в базе данных, то все равно ничего страшного не выйдет, т.к. в строке base64 строго ограниченный набор символов.