http://lcamtuf.coredump.cx/squirrel/
据作者说,
这是图片的嵌入式着陆页。你可以链接到这个 URL并获取您正在查看的HTML文档(很快就会出现 包括必要的松鼠事实);或嵌入完全相同的URL作为 您自己的松鼠主题页面上的图片:
<a href="http://lcamtuf.coredump.cx/squirrel/">Click here!</a> <img src="http://lcamtuf.coredump.cx/squirrel/">没有服务器端黑客攻击 涉及 - 魔术发生在您的浏览器中。
换句话说,如果您将该URL弹出到浏览器中,它会呈现为网页,但您也可以使用相同的URL作为图像源。
这里有什么样的巫术?
(如果该网站离线,则从以上链接编辑:source code。)
答案 0 :(得分:46)
您链接的文件是多语言 - 语言的组合。它可以被读取并理解为两者图像和HTML文件。这是一个简单的伎俩。如果您查看HTML源代码,可以在顶部看到:
ÿØÿà
快速Google显示这看起来像JPEG标题。创建者所做的是将HTML存储在JPEG元数据中,将JPEG图像数据存储在html注释中。非常漂亮但不神奇。
要隐藏JPEG标题,他使用CSS规则隐藏正文并仅显示一些元素:
body { visibility: hidden; }
.n { visibility: visible; position: absolute; ...... }
另请注意,它不是有效的HTML,例如因为隐藏图像数据的注释未关闭,但浏览器仍然乐意接受并呈现它。
答案 1 :(得分:3)
它是一个带有html内容和图像数据的html页面。
查看标题,它包含jpg标题。在源代码中,第一行包含ÿØÿà,它是一个jpeg头。
url http://lcamtuf.coredump.cx/squirrel/index.html(附加了index.html)清楚地显示了它的html文件。显然,这可能被称为两者作为网页或图像!
您可以轻松地将jpg文件(或任何图像文件)重命名为.html&amp;当您在浏览器中打开时,它只会显示图像,就像任何其他图像一样。
最近我记得的类似技巧是将gif重命名为jpg,如同here,但数据仍为gif&amp;标题包含gif。