ソース:
訳:
ここでは、ExifTool を使用して XSS を挿入する方法を検討します。
(クロスサイト スクリプティング) ペイロードをファイルのメタデータに追加し。
これらのメタデータ フィールドに悪意のあるスクリプトを埋め込むことで、このメタデータを不適切に処理または表示する Web アプリケーションの脆弱性を攻撃者がどのように悪用し、最終的に埋め込まれたスクリプトを実行してアプリケーションのセキュリティを侵害するかを実証できて。
ExifTool を使用してファイルのメタデータを表示するには、いくつかの方法がありますが、まずシステムに ExifTool をインストールする必要があ。
インストールしたら、コマンドラインインターフェイスを開き、検査するファイルが含まれるディレクトリに移動して。
コマンドを入力すると exiftool filename
, ここで、「filename」はファイルの名前で。
ExifTool は、そのファイルに関連付けられている利用可能なメタデータをすべて出力し。
このメタデータには、ファイルの作成日、変更日、カメラ設定 (画像ファイルの場合)、その他の埋め込み詳細などのさまざまな情報が含まれて。
この包括的な表示により、ユーザーはファイル内の非表示データに簡単にアクセスして確認することができて。
2 番目の、私の推奨する方法は、ファイルを exiftool 実行可能ファイルにドラッグ アンド ドロップするだけで。
ただし、アプリケーションが自動的に終了しないように、最初に exiftool ファイルの名前を exiftool(-k) に変更する必要があり。
ご覧のとおり、コマンド プロンプトを使用して exiftool を使用したときとまったく同じ結果になり。
しかし、できることはそれだけではありません。
exiftool を使用すると、メタデータを編集してファイルに追加することも。
その後、画像ファイルが正常に更新されたことが確認できて。
結果は次のとおり。
ファイルを Web サーバーにアップロードできた場合は、メタデータ内のペイロードが実行されるはずで。
これが機能する証拠で。
ファイルが正常にアップロードされたら、新しいタブで画像を開いて動作するかどうかを確認するだけで。
ExifTool は、さまざまなファイル形式のメタデータの読み取り、書き込み、操作を行うための強力なユーティリティで。
この機能は正当な目的に使用できますが、クロスサイト スクリプティング (XSS) 攻撃などの悪意のあるペイロードをファイルに挿入するために悪用されることもあり。
XSS ペイロードをメタデータに埋め込むことにより、攻撃者は適切なサニタイズを行わずにこのメタデータを処理または表示する Web アプリケーションを侵害し、重大なセキュリティ侵害につながる可能性があって。
ほなほな。