FireFoxのShift-JIS を用いた潜在的な XSS 攻撃について: 偏執狂的日記
不正なバイトが出力されることで XSSが引き起こされることがあるのですが ここ最近のブラウザのアップデートで対策がとられてきているようです。 FireFoxについては、 Shift-JIS を用いた潜在的な XSS 攻撃 http://www.mozilla-japan.org/security/announce/2011/mfsa2011-47.html で対策されました。Shift-JIS とありますが、EUC-JPの対策もされているようです。 ところがです。EUC-JPで明らかに対策抜けがあって、一部の文字でいまだに後続の文字を食いつぶすようです。 Internet Explolerにおいてはもっと状況が複雑なんですがこれについてはいつか。
"週"記(2006-12-15)
_ [webappsec] Jeremiah Grossman: I know where you've been ちょっと古いけど。指定したサイトが訪問済みかどうか抜くPoC。Mozilla, Firefox 用。そのサイトへのリンクを作って、そのリンクテキストの色の違いから判別してる。 というわけで、ちょっと改造してここにも仕込んでみる。調べるリストは、セキュリティアンテナの各サイト。Firefoxでどうぞ。 ↓↓↓ あなたの履歴に残ってる訪問済みサイト 表示するだけでデータ収集はしてません。収集してがんばれば、「このサイトを見てる人は、こんなサイトも見てます。」ってのが作れるかな。 12月16日追記: IE だと link.currentStyle["color"] で色が取れたので、IE でも動くように改良してみた。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
