CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて
![超絶技巧CSRF / Shibuya.XSS techtalk #7](https://cdn-ak-scissors.b.st-hatena.com/image/square/71e92b56723f49f3424384acfa9fbccd37a93e87/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F847b0b26084440f6badaac2487f62cfc%2Fslide_0.jpg%3F6051191)
この記事は脆弱性"&'<<>\ Advent Calendar 2015の16日目の記事です。 2015年のアドベントカレンダーですが、大昔(2013年)にミスタードーナツ公式ページにあったXSSの話をします。 2013年3月 ミスタードーナツの公式サイトへ行った時、偶然にも検索画面で怪しい文字列を発見してしまいました。最近ではあまり見かけなくなった ie=utf-8&oe=utf-8 のようなパラメータです。 XSS界隈の人なら恐らくこんな感じのパラメータを見たらちょっと変えてみてどのような挙動を起こすか試したくなるはずです。 実際にoe=utf-8を変えたらそれに対応する値がmetaのcharsetに入るようでした。当時のことを詳しく覚えていませんが、ここから直接XSSしたわけじゃないので多分値はエスケープされていたと思います。 エンコーディング周りでは当時UTF-7が終わりを迎える時
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く