(括弧)とスペースを使わないでXSS | MemeTodo2011年9月21日水曜日 (括弧)とスペースを使わないでXSS タイトルのように括弧とスペースを入力値に使えないような状態でXSSするものを見つけて結構面白かったのでメモ。 その時のサイトを再現したような感じのページ XSS Quiz クイズとか書いてありますが、興味ある方は下の解答を読む前にやってみるといいかもしれないですね。 自分が考えながらやった感じの解答は以下のようなものです 解答例 以下に実証コードを作成するまでの経緯を書いておくと --- 検索キーがエスケープされてない事に気づく 単純に<script>alert(1)</script>を検索キーとした場合()が大文字変換されてJavaScriptコードはエラーになる 検索キーにスペースが入ると検索結果が変わり、この場合はエスケープされて正しく出力される スペースと括弧を使わずにスクリプトを実行するという条件でも、window
