img标签在安全上的作用
来源:Loveshell
恩,太多了…..以前的关于xsrf和portscan的就无声的忽略吧..昨天看到一个很有意思
<script>
var winrar=new Image();
winrar.src = "res://C:\\Program%20Files\\WinRAR\\WinRAR.exe/#2/101";
if (winrar.height != 30)
{
document.write("winrar");
}
winrar='';
</script>
嘿,能探测出装的软件哪…不错吧,如果是杀毒呢?顺便说下res协议,好象是ie里用来定位资源的,譬如可以定位到某个exe文件里的某个资源,用exescope就可以分析.img的src是无域的限制的,src属性的好象都没限制……但是ff好象有点不一样- -!
另外一个就是在渗透时的作用,很多的email是支持多媒体或者说是html的,但是肯定script这些不会支持(譬如我的foxmail有script或者iframe或者事件都不解析),但是他们解析img标签啊….如果我们将src指到我们的地址就可以收集对方的信息了….useragent?os?path?mail client?loginname?…..还是这个人的使用习惯