↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
Yahoo! 足あとちょう(ver.302) :: ぼくはまちちゃん!
Yahoo! 足あとちょう (ver.302) ※IE系のブラウザかつ、Yahoo!ログイン済みだったら、うまくいけば↓にYahoo! IDが表示される…! きみのYahoo! IDをとってこれるってことは、他の情報もとってこれるかもしれないね! それどころか、 掲示板への書き込みとか、メールとかの、何らかの操作もできちゃうかもしれない! きみのIDで…!(できるかどうかは調べてないけど) もし単にIDの文字がとれるだけだったとしても、 人によってはヤフオクの履歴(評価)なんかはすごい個人情報だったりするから、注意しないとね! 架空請求とかに利用されたらきっと怖いよ! 下のリンクにある、他の足あとちょうと組み合わせたりするのも、かなりヤな感じ…! mixiの誰それさんは、xxx県在住で、ヤフオクでxxxxを買っている とかね。 これも CSSXSS っていうIEのセキュリティホールを使った
mixi足あとちょう :: ぼくはまちちゃん!
公開終了しました。 めんどくさいので記録などはしてません。 (仕組みの解説) 1. imgタグとかcssの背景画像とかで、ぼくのmixiのプロフィールを指定して踏ませる 2. このページの足あと表示用iframeにcgi(※)を呼ぶ (※cgiの内容) 呼ばれる → 数秒待つ → ぼくのmixiの足あとページを取得 → 整形 → このページのiframeに出力 これだけです>< これ架空請求のサイトとかで使われたらビックリするかもしれないね! spamメールくる→踏む→ipアドレスどころか「mixiのxxxxさんですね。ご利用ありがとうございます」とか表示する…。 うわ!これはイヤですね…。 はやく防止できる仕様になりますように。
CSSXSSでmixiのpost_keyをゲットする例 :: ぼくはまちちゃん!
[2005/12/06 13:00] できなくなった。対応したのかな。 [2005/12/06 18:00] できるじゃん。 なおってないよ>< たとえば、これを使って mixiの名前とかamazonの「ようこそxxxxさん」とかを一緒にサーバに保存して超足あと帳とかどう? (もしそういう穴があるのなら) やっぱり、かなり怖い気がする!! [2005/12/07くらい] なおってるよ! { がすべて { に変換されてでてくるようになった!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
