と書くと、「危険な文字」とみなされた "expression" と "cookie" がサニタイズされて以下のようになります。
はてなのexpressionのXSSが修正された | 水無月ばけらのえび日記
と書くと、「危険な文字」とみなされた "expression" と "cookie" がサニタイズされて以下のようになります。
XSS脆弱性の危険性 | 水無月ばけらのえび日記
公開: 2024年3月7日16時10分頃 「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。 脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。 緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。 緊急: 今すぐサイトを閉鎖して対応しなければならないもの重要: 早急に対応しなければならないもの要対応: 急ぎではないが、対応が必要と考
Yahoo!ブログの脆弱性が修正された | 水無月ばけらのえび日記
届け出ていたYahoo!ブログ (blogs.yahoo.co.jp)のXSS脆弱性が修正されたようなので、「Firefoxではembedのsrcに書かれたスクリプトが動作する」というお話で伏せていた部分を公開しました。 Yahoo!ブログでは他のユーザとドメインを共用していますし、管理画面も同じドメインですので、ブログでスクリプトが動作するとあまり良くないことが起こります。そして、独自のWiki記法で img 要素や embed 要素を書けるのですが、 [[img(javascript:alert(document.cookie))]] [[item(javascript:alert(document.cookie))]]
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
