Vlákno názorů k článku
Škodlivý kód ukrytý v EXIF datech obrázku favicon od jvic - Jestli jsem to dobře pochopil, tak favicon byla...

26. 6. 2020 21:19

jvic

Jestli jsem to dobře pochopil, tak favicon byla ve zmiňivaném případě zpracovávána javascriptem. Tzn. "bug" je v té JS části, protože neočekává, že by při čtení a renderování metadat o favicon souboru mohla přijít na nějaká nepravost....
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 6. 2020 15:28

Vít Šesták

Spíše jsem to rychle projel, ale IMHO je to jinak:

V první řadě útočník napadl server a upravil kód, který tu běží. To je ten zásadní problém.

Druhá věc je, jak obfuskoval svoji aktivitu. Udělal JS, který stahuje favicon z jiného serveru, a z něj extrahuje data, která hodí do eval. Toto není chyba, ale záměr útočníka. Bude tak těžší najít ten skript. Místo metadat ve favicon se klidně dál stáhnout přímo skript (nápadnější), txt (stále nápadné), použít least significant bits v obrázku (o něco pracnější). Nebo by sloy použít třeba i zvuk. Nebo slova liché/sudé délky v nějakém textu. Nebo... Možností je spousta...

Dále u nás najdete