PNG图片中混入iframe代码，知道的来分析分析～

感觉是木有可能的说，那个网页也看不清，有没有只有一张图片的演示

应该是因为在IEND标记之后浏览器直接从二进制解析转向HTML解析.

@binyuj 反搜了这个域名，发现曾被挂吗，还是H站。连接 issues 里有贴

Trojan.DL.PicFrame.a

https://www.google.com/search?q=Trojan.DL.PicFrame.a&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a

你这个看 hex 的插件是什么？

关注，顺便求插件名

@xhacker
@fen Package Control -> Hex Viewer

@hzlzh: 好像还不支持 Sublime 3><

@xhacker
支持，签出ST3分支即可

这个啊。。 貌似很巧妙啊 他利用你的程序读图片的exif信息的时候 把代码注入到网页上 挂马了等于

学了一招

@tokki 哦，对。是这个，DZ也爆过这个漏洞的。

@csx163 应该造就修复了吧。

@timonwong: 能用，谢谢。

@tokki 这个是针对特定浏览器的漏洞而进行攻击的吗？感觉服务器只会把整个图片链接挂到HTML上啊，iframe挂在网页上的原理是什么呢？求大神解答

不是针对特定浏览器的，这个是xss，这个漏洞具体我不清楚，我看截图是一个iframe代码
我这样想的
1网站上有显示图片exif信息的页面，这个页面是用php把图片的exif信息读出来
2通常人们都会对request的信息进行一些处理，可是exif信息容易被忽略，如果没有处理的话，用户访问对应页面的时候exif的信息包含iframe的代码就能执行了
3iframe执行的时候就已经能用当前访问的用户的身份了执行操作

之前还有看过利用cookie来xss的 总之都是很巧妙的思路

任何客户端的数据都需要处理处理才可以显示

@shenyuanv 思考了下 这个毕竟我没去测试 我说的只是我一个想法-，- 别误导了 去忙了

@timonwong
具体怎么操作？
st3 安装了 package control ，用它装了 hexviewer，查看的话是单个文件的形式
怎么能通过简单的方式 切换到 st3 分支？

我知道可以直接 git 回来 ，不过很不方便啊

@rrfeng
目前只能手动git了（先卸载掉那个Package， 然后 git clone -b ST3 {repourl}），Package Control仍然可以接管更新（Upgrade的时候会调用git pull ）。

png 可以嵌 iframe 的功能目前只有 IE 一个浏览器支持。

@timonwong repourl 怎么获得呢？只能上github 找？