to all users' XSS
-
#
2007/02/02 16:58
ishinao
PHP使ってるんならstrip_tags()やhtmlspecialchars()くらい覚えておこう。-
URL
PHP使ってるんならstrip_tags()やhtmlspecialchars()くらい覚えておこう。
→6 links
http://neta.ywcafe.net/000719.html
こういう対応(追記の部分)はまずいよなー。
-
URL
PHP使ってるんならstrip_tags()やhtmlspecialchars()くらい覚えておこう。
→6 links
-
#
2006/08/02 19:16
ishinao
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!-
URL
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
→18 links
http://mxxi.hamachiya.com/2006/08/xss_1.html
誰かうちもテストしてくれないかなー。
そういや俺も前に、汎用ページナビゲーションコンポーネントで似たようなXSSを出したことがある(運用前のセキュリティ監査で見つかった)。コンポーネント自体は、QUERY_STRINGの各パラメータの意味を理解せず(っつーか汎用だから、ロジックレイヤーで使われるパラメータの意味は理解できない)、ロジックレイヤーから渡されたQUERY_STRINGにページ処理系パラメータを付加して出力するようにしていて、うっかりロジックレイヤーから渡されたパラメータを(信用して? エスケープ済みと勘違いして?)エスケープせずに出力してしまっていた。
たとえロジックレイヤーから渡されたQUERY_STRING(の一部)だとしても、エスケープは出力時点でまとめて行うように決めてあったんで、エスケープしないで出..続きを読む -
URL
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
→18 links
-
#
2006/07/21 23:33
ishinao
フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり:ITpro-
URL
フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり:ITpro
→8 links
http://itpro.nikkeibp.co.jp/article/USNEWS/20060721/243976/
> 対応した同社スタッフはXSS脆弱性を理解できず,この脆弱性を突く検証コードを送るという申し出に対しても,会社のポリシーで禁止されているとして断った
PayPalって大手だし金を扱っているんだし、もっとましなところだと思っていた(特に根拠なし)んだけどなー。 -
URL
フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり:ITpro
→8 links
-
#
2006/03/29 00:00
ishinao
[Webアプリ]文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係-
URL
なんてこと 全然もっと 根が深い? - 交差点の猫
→3 links
http://d.hatena.ne.jp/harupu/20060328#p1
ちゃんとやってれば攻撃が決まるパターンはそう多くないと思うけど、抜本的に解決するためには、対象の文字コード系として不正なバイト要素を除去しなきゃいけないのか。内部ではバイナリ列として扱って、表示時にHTMLエスケープという対応じゃだめなのね。
-
URL
なんてこと 全然もっと 根が深い? - 交差点の猫
→3 links
-
#
2006/02/05 00:00
ishinao
ブログサービスの XSS 脆弱性対策はいらない-
URL
ブログサービスの設計思想とユーザ側の制約
→3 links
http://deztec.jp/design/06/02/05_xss.html
XSSで盗まれては困る情報を管理しているサービスと、そういうものを管理していないサービスの違いを、技術的に理解した上で言っているのか?
-
URL
ブログサービスの設計思想とユーザ側の制約
→3 links
-
#
2005/06/09 00:00
ishinao
はてなダイアリー内のXSS脆弱性について-
URL
2005/06/09 | いしなお!? | 1470.net
→1 links
http://1470.net/mm/mylist.html/1?date=2005-06-09#m53911 -
URL
はてなダイアリー内のXSS脆弱性について - はてなダイアリー日記
→1 links
http://d.hatena.ne.jp/hatenadiary/20050609/1118312128
修正された。
-
URL
2005/06/09 | いしなお!? | 1470.net
→1 links
![トリニティ トリニティ ケーブルボックスミニ(ホワイト)[The CableBox Mini White] BLD-CBMN-WT](http://ecx.images-amazon.com/images/I/31x3JI2ZPcL._SL160_.jpg "トリニティ トリニティ ケーブルボックスミニ(ホワイト)[The CableBox Mini White] BLD-CBMN-WT")