はまちちゃん vs IPA - ( ´ー`)y-~~ < ボクにも言わせて久しぶりにはてなを見てたら、はまちちゃんとIPAが喧嘩してた! http://d.hatena.ne.jp/Hamachiya2/20070131/ipa3 何の事は無い、HIDDENの項目に script をpostするだけの一番お手軽XSS。 <input type="text" name="data[LectureReception][theme_id][18]" value='"> <script>alert("こんにちはこんにちは!!")</script>'>こんな脆弱性(?)が残ってるんだなぁ。 って言うか、以前にIPAが出していた資料で「HIDDENは使っちゃダメ!」って書いてあったのを見た事があるような。(笑 げっ。 勝手にトラックバック飛んじゃった。 こんな仕様だったっけ。^^;
