脆弱性"&'<<>\ Advent Calendar 2015 11日目の記事です。 livedoor Blogのブログ記事は「HTMLタグ編集」でスクリプトを書くことができる。例えば、<script>alert(location)</script>と書けばalertが出るし、<script>location.href="calculator:"</script>と書けば電卓が起動する。 ちなみに location.href="calculator:"; でEdgeから電卓たちあがるので、XSS見つけるだけでこれからは電卓立ち上げられますね！ — Yosuke HASEGAWA (@hasegawayosuke) 2015, 8月 26 ChromeでもIEでも電卓が立ち上がった。 これが脆弱性になるかというと、そんなことはない。livedoor Blogはユーザー別にサブドメインを作るよ

>wget http://2014.seccon.jp/mailmagazine/backnumber08.txt --2015-12-06 18:38:56-- http://2014.seccon.jp/mailmagazine/backnumber08.txt Resolving 2014.seccon.jp (2014.seccon.jp)... 133.242.50.254 Connecting to 2014.seccon.jp (2014.seccon.jp)|133.242.50.254|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 14182 (14K) [text/plain] Saving to: 'backnumber08.txt' backnumber08.txt

例えばこのようなスクリプトで、数値変数%200と%201に1と2を、文字列変数$200と$201にあああといいいを書き込むと、gloval.savは次のようになる。 構造はとても簡潔で、グローバル変数（デフォルトでは200以降）が、数値、文字列、数値、文字列、…という順番で並んでいるだけ、数値は4バイトリトルエンディアン、文字列はNULL終端文字列。 脆弱性は単なるスタックバッファオーバーフローで、この文字列の長さを1100バイトくらいにすると、gloval.savの読み込み時にプログラムが落ちる。 攻撃の方法について スタックの値を0x00以外の任意の値にすることができるので、簡単に攻撃できるかと思いきや、なかなか難しい。 まずは、リターンアドレスの上書きが思いつくが、NScripterの場合は、ExitProcessによってプログラムを終了していて、この脆弱性で破壊できる位置までスタッ