XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん！

こんにちはこんにちは！！ クロスサイトスクリプティングの時間です！ XSSというと…！ まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね！ たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか！ (入力) <form action="register.cgi" method="post"> タイトル：<input type="text" name="title"> ← 「ぼくはまちちゃん！」を入力 本文：<input type="text" name="body"> ← 「こんにちはこんにちは！！<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい？</p> <p> タイトル： ぼくはまちちゃん！<br> 本文： こんにちはこんにちは！！<script>alert

[gon9before]

ＧＥＴ値テスト方法

[rikkeydesu]

xss はまち

[webmarksjp]

hamachiya2

[restartr]

フォームだけでなく、GETのパラメータも危ないよ。

[nori0620]

「じゃあさっき「えー」って思ったひとのためにも、はてなでの実例を示してみますね…！」

[otom]

参考に

[send]

デレだ

[nitoyon]

はてなですらこんなに存在する。全部サニタイズすれば解決する問題。

[denken]

むにむに

[ryomiyo]

クロスサイトスクリプティング

[potappo]

GETリクエストの中身に注意。

[J2kawa]

ずざー。 遅すぎ。

[utility1]

やばいか・・・

[elf]

気をつけられる案件は気をつけてるけど(何 怖い怖い

[todesking]

はまちちゃん先生じきじきのXSS入門講座。

[f99aq]

＞＜

[tateru]

[脆弱性] [XSS]

[usj12262]

そういうURLのリンクを貼る→ユーザーがクリック→ユーザーのブラウザ上で任意のjsコード実行。エンコードされてたりも。ワンクリック詐欺などに使われそう

[I11]

問題を指摘するのはかまわないけれど、悪意を誘発して実際に使える技術は配慮して書いてほしいと思った。「実際にはてなに存在しているXSSセキュリティホールだよ」→2006-08-02 15:14 に修正。

[hamasta]

XSS、はてな。

[iiiiiiiii]

セキュリティ

[suVene]

><

[TransFreeBSD]

相変わらずの事前公開／注意喚起だけなら問題ないがクラックを助長してる／とりあえず無効にしているサービスだけでよかった

[Chaborin]

夢の超ホットエントリ超期待！＞＜

[wacky]

見落としやすい（？）GETリクエストパラメータのXSS脆弱性。はてなの例。

[seamlessbias]

夏のはまちちゃんXSS講座。表示系のパラメータは確かにこういう脆弱性が多そう。自分で実装するときは気をつけないといけないね。

[kits]

すごいなあ。

[sqrt]

わ、なんだこれ勝手にブクマされうわなにをするやめｒｆｔｇｙふじこ

[SiroKuro]

気づかなかったなぁ。けど、なんというか構造と文章を同レベルで書いていることが原因のような気がする。切り離せるライブラリって無いんですかね？ XmlTextWriter みたいな

[konaze]

うーむ。すげぇ。