@‎XSS (一部のブラウザのlocation.hrefがXSSを引き起こしやすいことに関する注意喚起) 概要 一部のブラウザのlocation.hrefは、XSSなどのセキュリティ問題を引き起こしやすい値を返します。この挙動により、location.hrefが自分と同じドメインのURLを返すこと... 続きを読む

• l0.cm
• テクノロジー

XSS with $(location.hash) demo Click this " target="_blank">link. It works on IE, Firefox, Chrome, Opera. In Safari, location.hash is percent encoded, not work. why? $("#id") is css selector, $("<img>") is createElement, and $("#<img>") is cr... 続きを読む

• ma.la
• テクノロジー

まず最初にSkype for Macを使ってるユーザーは自動アップデートした方がいいです。(2.x系列は影響を受けないとのことだけど2.x系列に未公開で深刻なバグがある可能性もあるしそこら辺は知らない) MSに買収されるだの何だのの少し前に話題になったSkype for Mac... 続きを読む

• g:subtech:id:mala
• テクノロジー

続きを読む

• twitter:ssig33
• テクノロジー

XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSSを通してパスワードを盗むことができるのか？ 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアド... 続きを読む

• g:subtech:id:mala
• テクノロジー

あけましておめでとうございます。年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してし... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

先日、なかなか強烈なXSS攻撃手法が公開されていました。 DNSへの問い合わせ結果にJavaScriptを埋め込んでしまおうというものです。 SkullSecurity: Stuffing Javascript into DNS names DarkReading: Researcher Details New Class Of Cross-Site Scripting At... 続きを読む

• www.geekpage.jp
• テクノロジー

Comments 1 - 1 of 1 comment previous next Post a comment + Laurentiu Macovei 6 months ago You should be adding easyXDM http://blog.dotnetwise.com/2009/11/easyxdm-best-cross-domain-xss-xdm.html to the slides Login or Signup to post a comment S... 続きを読む

• www.slideshare.net
• テクノロジー

XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who... 続きを読む

• ha.ckers.org
• テクノロジー

自動通知では、特定の YouTube でのアクティビティを、選択したサービスで公開できます。お好きなサービス（Facebook、Twitter、Google リーダーなど）を選択して、YouTube でのアクティビティを友だちに知らせます。自動通知はいつでも無効にできます。 続きを読む

• www.youtube.com
• テクノロジー

ttp://live.nicovideo.jp/search?sort=">Firefox等、Opera等ではアラートが表示されるが、WebKitのnightlyでは表示されない。原因を調べたら、どうやらこれはWebKitに搭載されたXSS対策の機能のようだ。 Refused to execute a JavaScript script. Source code o... 続きを読む

• javascripter.hatenablo...
• テクノロジー

catch (e) { try { xmlhttp = new ActiveXObject("Microsoft.XMLHTTP"); } 続きを読む

• ja.pastebin.ca
• テクノロジー

先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch)... 続きを読む

• www.greenspace.info
• テクノロジー

Countermeasures against XSS with UTF-7 are: Specify charset clearly (HTTP header is recommended) Don't place the text attacker can control before <meta> Specify recognizable charset name by browser. For more information about UTF-7 trick, see... 続きを読む

• openmya.hacker.jp
• テクノロジー

はてなID mala ニックネーム <textarea> 一行紹介 出戻ったら負けかなと思っている 自己紹介 1982年生まれ プログラマ 株式会社ライブドア所属 氏名 性別 <label</ppp> 年齢 誕生日 血液型 職業 学校 住んでいるところ 生まれたところ 趣味 特技 <a href= 続きを読む

• www.hatena.ne.jp
• テクノロジー

cssxssIDを抜き取る方法が思いつかなかったので、「はまちちゃん」の書き込みの二年来の再来とはいきませんが、セキュリティーホールだと思うので、早めに書いておきます。（修正済みです）実証コードhttp://k75.s321.xrea.com/cssxss/mixi.htmlパッチ済みのIE6... 続きを読む

• d:id:ofk
• テクノロジー

結論: XSSの(現時点での)すべてをまとめた良書(ISBN-10: 1597491543)。 あのRSnake氏が書いた本ということでゲットした(死語)。まぁ、よく網羅したというか。基本的に、pentester向けの本なので、それが本職じゃないひとにはやや冗長かもしれない。でも、XSSの... 続きを読む

• trombik.mine.nu:cherry
• テクノロジー

はい！ こんにちは！ 今日は珍しくセキュリティについて一言です！ タイトルにある通り、 XSSはそのサイトを信頼している人が多いほど脅威になりうる ってことなんだけど…。これだけだと、あたりまえっぽいよね。 まずXSS脆弱性ってなに？ って人のために簡単... 続きを読む

• d:id:Hamachiya2
• テクノロジー