はてなブックマーク - XSSを修正しないという事 (Kanasansoft Web Lab.)

XSSを修正しないという事 (Kanasansoft Web Lab.)

www.kanasansoft.com

タグ : security xss javascript セキュリティ kanasan 未読 *あとで読む Admin グリッド programming

コンピュータ・IT 86 users

特定の誰かを示しているのではなく、諸処で色々あったので書きます。 XSSを放置するという事がどういう事なのか説明してみます。まずは、以下のリンク先をご覧ください。どうですか? ちょっと気持ち悪くないですか? 新聞社のサイトで確認すると、その人の思想もある程度確認できます。特定のニュースを読んだ事も確認できます。詳しく書くと悪用されるので詳細は書きませんが、やろうと思えば特定のサービスのidやハンドルネームも取得できます。色々なサービスのidやハンドルネームを結びつけることもできます。そしてそれ... > このページを見る

最終更新時間: 2008年10月24日18時00分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

hisasann XSS
ユーザー動向を確認できるサンプルあり 2008/12/16
inamenai セキュリティ
ブラウザ履歴の取得は高木先生が指摘してたドリコムのあれと同じ手法っぽい。確かにこうやって実際に見せられると「気持ち悪っ！」っていう感じになるよね。XSSとは別件でこれももっと周知が必要な気がする。 2008/10/29
kicchomu3
XSSはJavascript以外でもできるでしょ。 2008/10/26
fuktommy security
"あなたの作ったサービスを信用して訪問してくれた人"←もちろんkanasansoft.comなんぞ信用してないので無問題。←初対面の人をいきなり信用するわけがないだろ。 2008/10/25
genkivogue security
http://www.google.com/search?hl=ja&ie=UTF-8&oe=UTF-8&lr=lang_ja&q=%58%53%53%20%E5%AF%BE%E7%AD%96 2008/10/25
into_the_blue webappsec
悪質なサイトじゃなくても、実はやっていること。わざわざ脆弱なサイト見つけてまでこれをやるより、どーせならCookie盗んで（ｒｙとかキーロガーしかけて（ｒｙのほうがいいな（自分が攻撃者だったとしたら） 2008/10/25
sippu security, javascript
おお怖い。こういう手法もあるのか。ってかこれってよく使う方法も良くあるよね？（お勧め表示とか） 2008/10/24
Kenta_K
検索はGoogleしか使わないのに、Yahooって言うニュースサイトで検索してるって言われたんだけど…？ 2008/10/24
inugamix website, security
『JavaScriptインジェクション』 2008/10/24
Kanasansoft security, javascript
id:hasegawayosuke 「悪質なサイトに寄りつかなくても」ってところで説明したつもりだったんですけど不十分でした? 後で追記するかも。 2008/10/24
hiroyukiegami これはえがい
非常にいいまとめ 2008/10/24
hasegawayosuke
XSSでJavaScriptが動くのはその脆弱なサイト上なので、特定サービスのidやハンドルネーム云々は関係ないぢゃん。visited調査は攻撃者が自分でサイト用意しても一緒ぢゃん。…という反論にはどう対応する? 2008/10/24
hanazukin kanasan
++ 2008/10/24
mincemaker security
kanasan++ 2008/10/24
g616blackheart
ガードが堅いと言われた……どうしてだろう？ 2008/10/24
anigoka
なんかガードが堅いて言われちゃったんだけど、なに,オレが非コミュだって言いたいの！？ 2008/10/24