エントリーの編集
![loading...](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/common/loading@2x.gif)
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
XSS in Google Maps (again)
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
![アプリのスクリーンショット](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/entry/app-screenshot.png)
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
XSS in Google Maps (again)
おそらくは前回のXSSのあとで機能追加されたリンクだと思う。 cnnでWeb検索してからMapsに移動すると、... おそらくは前回のXSSのあとで機能追加されたリンクだと思う。 cnnでWeb検索してからMapsに移動すると、「Search the web for cnn」というリンクが左側に表示される。 このリンクのhrefがシングルクォート(')でくくられていた。 しかも前回見つけた「必要なのかどうかわからない機能」がこのリンクで発動していた。 前回は同じサービス内のリンクでのみ発動したので、なんでここだけ?と不思議に思ったが同じ手口であっさり通った。 成功して報告したあとに気づいたが、このリンク実は普通にqパラメータにシングルクォート入れるだけでhrefを終わらせることができていた。しかしへんな文字を入れるとすぐにこのリンク自体が表示されなくなってしまう。 がんばれば普通にXSSできるのではないか?と思ってORでつなげたりしてみたが、残念ながらイコール(=)がエンコード(%3D)されてしまった。