jQueryMobileのXSSに関する調査メモ
今回の原因 #1789: jQuery Mobile XSS Problem by jnlin for jquery/jquery-mobile - Pull Request - GitHubに書かれているXSSが今回の内容。 これは以下のようなhash値をjQueryMobile側のhashchangeイベントがキャッチし、 #<img src=/ss onerror={alert('xss');}> $()関数にhash値を渡すところで発生するよう。 jQueryMobileの2488行目あたりの以下のコードがそれ。このコードは2360行あたりにも存在する。 to = $( ":jqmData(url='" + url + "')" ); そして今回のjQueryのXSSに関する詳しい内容はmalaさんの記事を参考。 jQueryにおけるXSSを引き起こしやすい問題について - 金利0
UTF-7でスクリプトを実行させるXSSについて
IEでUTF-7なスクリプトをiframeの中に表示するとXSSが発生するメモです。 あんまりこの話には詳しくないので、今後の調査材料として残しときます。 (※一応悪用厳禁であります!) iframe内のエンコードが正しく指定されていない場合は、そのiframeの親にあたる部分のエンコードが自動的に適用されるというIEのバグがあるみたい。 今回はそれのちょこっとした検証! 1番初めに呼ばれるhtml(①.html) <html> <head> <title> </title> </head> <body> <script type="text/javascript"> window.onload = function(){ var iframe = document.createElement('iframe'); iframe.src = '/utf7XSS/utf7XSS'; docu
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HisasAnn.com is for sale | HugeDomains
