エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
(括弧)とスペースを使わないでXSS | MemeTodo
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
(括弧)とスペースを使わないでXSS | MemeTodo
2011年9月21日水曜日 (括弧)とスペースを使わないでXSS タイトルのように括弧とスペースを入力値に使え... 2011年9月21日水曜日 (括弧)とスペースを使わないでXSS タイトルのように括弧とスペースを入力値に使えないような状態でXSSするものを見つけて結構面白かったのでメモ。 その時のサイトを再現したような感じのページ XSS Quiz クイズとか書いてありますが、興味ある方は下の解答を読む前にやってみるといいかもしれないですね。 自分が考えながらやった感じの解答は以下のようなものです 解答例 以下に実証コードを作成するまでの経緯を書いておくと --- 検索キーがエスケープされてない事に気づく 単純に<script>alert(1)</script>を検索キーとした場合()が大文字変換されてJavaScriptコードはエラーになる 検索キーにスペースが入ると検索結果が変わり、この場合はエスケープされて正しく出力される スペースと括弧を使わずにスクリプトを実行するという条件でも、window