今年は1回しか花粉症で薬飲んでません。昨日、ニュースでスギ花粉のピークは終わったって言ってました。住んでる場所によるのかな? 根が深い。(ぇ 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 もしかしたら周知の事実で私だけ遅れてるのかもしれないけど、メモってことで。IE限定。 PHPでHTMLエンコードされてるサンプルコードを書いてみた。 サンプルコード(SJISで保存してください) <form> text: <input type='text' name='text' value="<?= htmlspecialchars($_GET{'text'}) ?>"><br> text2: <input type='text' name='text2' value="<?= htmlspecialchars($_GET{'text2'}) ?>"
もっといっぱい動くっぽかった。まとまったら後で書くですよ。っていうか、対策としてそういう条件を強いるのはなんだかなぁな位幅が広いかも?*1 ダメだった……。残念。次はEUC調べよっと。 EUCの場合 脆弱なコード例(もちろん文字コードはEUCで) <form> text: <input type='text' name='text' value="<?= htmlspecialchars($_GET{'text'}) ?>"><br> text2: <input type='text' name='text2' value="<?= htmlspecialchars($_GET{'text2'}) ?>"><br> <input type=submit value="送信"> </form>攻撃例*2 http://localhost/break_quote_euc.php?text=te
■IEにおいてUS-ASCIIなエンコーディングでXSS発生? US-ASCII な記述で、<,>,", のフィルタリングを回避可能かもの実証コード(IEのみが脆弱) ちょっと古いハナシなのでしょうけれど。 ASCII Test: www.iku-ag.de 原因はどこにあるのか 上記実例にてサーバからのHTTP応答ヘッダを見てみると。 HTTP/1.1 200 OK Server: Apache-Coyote/1.1 ETag: W/"428-1150936271000" Last-Modified: Thu, 22 Jun 2006 00:31:11 GMT Content-Type: text/html Content-Length: 428 Date: Sat, 24 Jun 2006 13:59:01 GMT 上記の応答には、特徴的なことがあります。 Content-Type:
ドリコムは4月10日、2007年3月期の連結および個別業績について、売上高が従来予想の6割にとどまり、経常利益は赤字転落すると発表した。同社は「Web 2.0銘柄」として市場の期待が高かったが、上場後わずか1年で大幅に業績を下方修正。株価は4月10日現在、1年前と比べ4分の1程度に落ち込んでおり、明日以降の株価推移に注目が集まっている。 連結業績における売上高は前回予想の15億円に比べ、42%減の8億7000万円、経常損失は1億8000万円(前回予想は4億円の経常利益)、純損失は1億1000万円(同2億3000万円の純利益)となる。 下期にブログ関連製品の大型受注案件を獲得できなかったことが主因。また、業績に寄与する計画だった光通信と組んだ営業案件も、大きな成果をあげることができなかった。 今期はドリコム自体の営業力強化やモバイル事業など新規商品開発、光通信との営業体制強化などに取り組むこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く