SVGでXSSをしてみる。その1 - cocuh's note
svgにjavascriptが埋め込んだ時の挙動がどう違うのか気になっていろいろ試したのでとりあえずまとめてみます。 特に言及していなければfirefoxで試しています。 scriptを混入させたsvgを書く 思いつくjavascriptをいれる方法をひと通り入れてみました。 明らかに動かなさそうなものやxssじゃないものもはいってますが挙動が気になったので入れてみました。 onclick="console.log()" 内部スクリプトでのelem.onclick = function(){console.log()} 外部スクリプトでのelem.onclick = function(){console.log()} style属性でのexpression: style="stroke-width:expression(console.log())" cssでのexpression: .x
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor I played around with SVG and the <use> element and found some interesting things, which I want to share. I do not know if anyone already posted some information about that. Let me know, if there is already information out there :) ====================== SVG - <use> element ====================== The <use> element is used in SVG to re
Scriptless Attacks – Stealing the Pie Without Touching the Sill
Scriptless Attacks – Stealing the Pie Without Touching the Sill Mario Heiderich, Marcus Niemietz, Felix Schuster, Thorsten Holz, Jörg Schwenk Horst Görtz Institute for IT-Security Ruhr-University Bochum, Germany {firstname.lastname}@rub.de ABSTRACT Due to their high practical impact, Cross-Site Scripting (XSS) attacks have attracted a lot of attention from the security community members. In the sa
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Intent to Deprecate and Remove: data: URL in SVGUseElement
