OWASP Japan 2nd Local Chapter Meeting - Garbage Script on Goo BLOG(はせがわ“Short talk of XSS – 短いXSSの話”) 某サイトのXSSの話(会場では伏せられてないが) alertを使っていない、なぜ?→入力が21文字に限られていたから XSSで任意のコード動かすには何文字必要? まともなモノなら22文字あれば→21文字以下にしてみました。 > →実際には22文字あれば成立できるかな? 単純なJavaScriptだけなら? →一番短いのは6文字「$(URL)」(但しJQuery使用時に限る) ----- (徳丸 KDDI新GWの「かんたんログイン」なりすまし問題を振り返る) 敢えてガラケー、攻撃者視点での話です。 かんたんログインの話はどうせ皆さん知ってると思うので割愛(分からない人はググって下さい)。 書籍に載っているような標準的な実装に対してアタックしてみよう。 (キャリアGWのIPアドレスとAgent情報をチェックして入れる/弾く
