私はいかにして脆弱性を発見したか - 夏風邪が 長引いてるよ 2週間 - 交差点でコーヒーを
id:hasegawayosukeさんとこに、私はいかにして様々なブラウザの脆弱性を発見したかってあったので、真似してみた。 基本、「こうあるべき」、「こうなってるはず」を理解したうえで、「挙動がおかしい」とか、「こうあるべきだけど、実際作ること考えたら難しい or 無理」ってのを調べてる感じでしょうか。 まあ、要するに、てきとーです。 マルチバイトを使ったXSS テキストフィールドに入れた「%E3%81%82」とかをデコードする簡単なWebアプリ作って、作業してた時にコピペミスした。 そしたら、半端なマルチバイトの状態になってレイアウトが崩れたので、この崩れ方はあり得んって思って調べたらXSSできた。 Apacheのエラー画面(?)上でのXSS(今でも健在かな) 書き方違反したらどうなるんだろ?って思って書いたらXSSが動作した。 けど、IPAに報告したら書き方違反してるんだからその出力
XSS (Cross Site Scripting) Cheat Sheet - カリカリと 猫缶とでは 別腹だ - 交差点の猫
基本、カリカリだけをあげてるのですが、最近はおやつをあげております。 おやつとしては、歯磨きガムとか、猫カフェとかによくあるような(?)スティックっぽいお魚のやつ。 それなら、いっそ、猫缶でもおやつっぽくない?って思ってこの間大量に購入したのです。 とても歓喜しているのですが、ホントに"おやつ扱い"なのか、カリカリご飯の後なのに、いつものご飯と同じくらいの量を食べてみたり、カリカリご飯の代わりに猫缶あげたら、食べ終わった後にご飯を要求してきたりと(しかも結構ちゃんと食べる)、別腹っぷりを発揮しています。 ジャモラ君がハフハフ言って食べてるのがとてもかわいいです。 猫缶で満足な蜜柑さん 久々にせきゅりての話でも? まあ、有名なCheat Sheetなのですが、IE7で動くのんが動かないことになったままずーっとなのが気になる。 <INPUT TYPE="IMAGE" SRC="javascri
2006-03-27
今年は1回しか花粉症で薬飲んでません。昨日、ニュースでスギ花粉のピークは終わったって言ってました。住んでる場所によるのかな? 根が深い。(ぇ 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 もしかしたら周知の事実で私だけ遅れてるのかもしれないけど、メモってことで。IE限定。 PHPでHTMLエンコードされてるサンプルコードを書いてみた。 サンプルコード(SJISで保存してください) <form> text: <input type='text' name='text' value="<?= htmlspecialchars($_GET{'text'}) ?>"><br> text2: <input type='text' name='text2' value="<?= htmlspecialchars($_GET{'text2'}) ?>"
文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 - 交差点でコーヒーを
もっといっぱい動くっぽかった。まとまったら後で書くですよ。っていうか、対策としてそういう条件を強いるのはなんだかなぁな位幅が広いかも?*1 ダメだった……。残念。次はEUC調べよっと。 EUCの場合 脆弱なコード例(もちろん文字コードはEUCで) <form> text: <input type='text' name='text' value="<?= htmlspecialchars($_GET{'text'}) ?>"><br> text2: <input type='text' name='text2' value="<?= htmlspecialchars($_GET{'text2'}) ?>"><br> <input type=submit value="送信"> </form>攻撃例*2 http://localhost/break_quote_euc.php?text=te
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
