XSS例題(下書き中) - st4rdustの日記課題草案(第四版) アリスのサーバにはtext/html(charsetはUTF-8)でサーブされるHTML4.01相当のHTML文書を吐き出すサービスがある。以下はそのHTMLの一部分なのだが、第三者であるイブは、一定の条件に従った文字を出力できることに気がついた。 <script type="text/javascript"> ここらへんにイブが何か書ける </script>文字について一文字ずつ投入して調べたところイブが出力できる文字は、以下の通りであった。 スペース 改行 セミコロン 三種類の括弧 ( ) [ ] { } ローマ字 数字イブは試みに、alert(1) 他、いろいろ出力したのだが、エラー表示となり駄目であった。つまり、( や ) については、書きだせる場合とそうではない場合があり、どうやらWAFによって、特定のケースではエラーとなりハネラレルことにイブは気がついた。ア
