aardverschuiving.com has been registered at Porkbun but the owner has not put up a site yet. Visit again soon to see what amazing website they decide to build.
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。 この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。 脆弱性の内容 特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。 今後の対応について 現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。 今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。 また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。 このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く