La faille n’est pas nouvelle, mais jklmnn a eu l’excellente idée d’en faire un petit logiciel bien rigolo.
Découverte par Ange Albertini, cette méthode permet de cacher du javascript dans un fichier image (et bien sûr l’exécuter). Et grâce à ImageJS, l’outil mis au point par jklmnn vous allez pouvoir vous amuser chez vous.
Et les avantages sont multiples… Cela permet entre autre de tester des failles XSS quand tout est bloqué sauf l’upload d’images (avatar sur un forum par exemple), ou alors de passer en force des scripts JS. Par contre, si vous avez désactivé le Javascript ou que vous utilisez des extensions comme NoScript, le javascript ne se lancera pas.
Par contre, je n’ai pas testé sur du blocage plus doux genre Ghostery pour voir si ça permettait de passer des trucs bloqués ou pas (genre script analytics ou autre…).
ImageJS peut générer ses propres images (gif, bmp, webp, pnm, pgf) ou vous pouvez planquer votre script dans une image existante. Voici comment faire avec un Gif existant.
./imagejs.macho-i386 gif monscript.js -i monimage.gif
Et il suffit ensuite d’insérer dans votre page HTML, une balise <script></script> en précisant l’url de votre image comme source. Exemple :
<script src= »monimage.gif »></script>
Et vous verrez votre script se lancer lorsque vous chargerez cette page HTML.
Toutes les infos sur ImageJS sont ici.