クロスサイトスクリプティング対策
- 1 :名無しさん@お腹いっぱい。:01/10/27 10:37 ID:AENF9z2S.net
- http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf
簡単にいって、フォームの入力をサーバサイドで処理してHTMLと
して出力する時に、文字のエスケープを適切に行わないと、
Cookieを取得するJavaScriptを埋め込み&出力結果を別サイトに
リダイレクトする、というような方法を使ってCookieを第三者に
盗まれる可能性がある、ということです。
上の資料を参考にしながら、
それぞれの処理系における、どのようの文字列エスケープを行うべきか、
といったサーバサイドの対策に関する情報を交換していきたいと思います。
- 63 :nobodyさん:02/12/06 16:58 ID:???.net
- ここで配布してるスクリプトも脆弱性の問題あり?
http://www.onpuch.jp/files/onpuch.zip
- 64 :nobodyさん:03/01/10 01:43 ID:QhQLqNIU.net
- Struts使おう。
- 65 :山崎渉:03/01/16 03:36 ID:???.net
- (^^)
- 66 :奥さん ◆mL2ZRk1cK. :03/01/18 07:27 ID:AxdRMTC9.net
- d
- 67 :奥さん ◆0Z6Yhsb88E :03/01/18 07:27 ID:AxdRMTC9.net
- aq
- 68 :奥さん ◆E39m/9K3xY :03/01/18 07:28 ID:AxdRMTC9.net
- qwe
- 69 :奥さん ◆8WgvSovIKg :03/01/18 07:28 ID:AxdRMTC9.net
- qwer
- 70 :奥さん ◆ABM5odHy/Q :03/01/18 07:29 ID:AxdRMTC9.net
- 12345
- 71 :奥さん ◆bc.v5kgifQ :03/01/18 07:30 ID:AxdRMTC9.net
- hfjfjf
- 72 :奥さん ◆IGEMrmvKLI :03/01/18 07:31 ID:AxdRMTC9.net
- vbncnnb
- 73 :奥さん ◆tsGpSwX8mo :03/01/18 07:31 ID:AxdRMTC9.net
- hhhhhhhh
- 74 :奥さん ◆Mjk4PcAe16 :03/01/18 07:32 ID:AxdRMTC9.net
- fhfhfhfhfh
- 75 :nobodyさん:03/01/19 15:22 ID:???.net
- 荒らされてる
- 76 :nobodyさん:03/01/19 15:58 ID:???.net
- XSS対策のひとつとして、「エスケープ処理」がある。
これはCGIが扱うパラメータが多くなってくると、ついつい忘れてしまう煩雑で面倒な処理だが、
もしあなたがPerlユーザなら、HTML::Templateを使うことによってエスケープを
テンプレート側に記述し、プログラム側から完全に追い出してしまうことができる。
<input type="hidden" value="<tmpl var="aniti_xss_value" escape="url">">
<input type="text" value="<tmpl var="aniti_xss_text" escape="html">">
最後のescape属性に注目だ。これを指定してやるだけで、
テンプレートにセットした変数は適切にエスケープされるようになる。
もう、escape関数を呼びまくる必要はないんだ!ひゃっほう!
ps.この情報がXSS対策に頭を悩ますCGI製作者の助けになることを祈ってるよ。
- 77 :nobodyさん:03/01/19 16:01 ID:???.net
- ヽ(゚∀゚)ノヒャホー
- 78 :nobodyさん:03/01/21 19:45 ID:eVlnRoM0.net
- 対策ではなくクキー盗む方法なのだが。
JBBSなどレンタル系の掲示板で使える。(htmlにログを表示して、javascriptでクッキーを読み出すもの)
レンタル系の掲示板は、自分が書き込んだ掲示板以外の板にもクッキーが適応されるところが多い。
(たとえば、http://jbbs.shitaraba.com/business/1/に書き込むとhttp://jbbs.shitaraba.com/business/2/の板にも適応される。)
これを利用して、自分の掲示板に書き込まれなくてもクッキーに入っているデータを取得できる。
具体的方法として
1.GET(QUERY_STRING)からのデータをテキストに保存するCGIを作成し、適当なフリーサーバに設置
2.ターゲットと同じレンタルBBSを借りる。
3.HTMLクッキー取得部分を調べてjavascriptで1のCGIに渡す。
4.ターゲットの掲示板にそれらしい理由を付けてカキコ
- 79 :nobodyさん:03/01/21 23:40 ID:ByrQNqOs.net
- クッキーのpathを / とかにしてるんだろうね。
名前が漏れるくらいはなんでもないけど
トリップやキャップもクッキーに入ってるとなりすましが出来ると。
- 80 :nobodyさん:03/01/26 15:26 ID:???.net
- XSS 脆弱性で Basic 認証のパスワードも盗まれるらしいぞ
http://memo.st.ryukoku.ac.jp/archive/200301.month/5237.html
(((;゚Д゚))ガクガクブルブル
- 81 :nobodyさん:03/01/28 20:54 ID:wWZkstRp.net
- >>80
ウゲ
でも
> サーバのTRACEメソッドが機能している場合
ってどういう場合なの?
- 82 :山崎渉:03/04/17 12:26 ID:???.net
- (^^)
- 83 :山崎渉:03/04/20 06:06 ID:???.net
- ∧_∧
( ^^ )< ぬるぽ(^^)
- 84 :nobodyさん:03/05/11 20:11 ID:???.net
- TRACE / HTTP/1.1
Host: localhost
Authorization: Basic
HTTP/1.1 200 OK
Date: Sun, 11 May 2003 11:07:46 GMT
Server: Apache/1.3.27
Transfer-Encoding: chunked
Content-Type: message/http
50
TRACE / HTTP/1.1
Authorization: Basic lG+/r4+/j6+/64FgKHc=
Host: localhost
0
(((;゚Д゚))ガクガクブルブル
- 85 :山崎渉:03/05/22 02:10 ID:???.net
- ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
- 86 :山崎渉:03/05/28 17:16 ID:???.net
- ∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
- 87 :山崎 渉:03/07/15 11:18 ID:???.net
-
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
- 88 :山崎 渉:03/08/02 02:34 ID:???.net
- ∧_∧
( ^^ )< ぬるぽ(^^)
- 89 :ぼるじょあ ◆ySd1dMH5Gk :03/08/02 05:12 ID:???.net
- ∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
- 90 :山崎 渉:03/08/15 23:09 ID:???.net
- (⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
- 91 :nobodyさん:03/08/28 13:53 ID:5epBRgUL.net
- 2chにはもうXSS使える穴は無い?
- 92 :nobodyさん:03/08/29 01:04 ID:???.net
- 半角で穴見つかったのが最後かな?
- 93 :nobodyさん:03/08/29 14:52 ID:???.net
- そうか…
XSS使えばフレームでの別ドメインの制限が回避出来るんだけどなー…
- 94 :nobodyさん:03/12/27 14:03 ID:6Fk7/T/f.net
- XSSをさらすスレはここですか?
- 95 :nobodyさん:2005/11/20(日) 11:58:56 ID:???.net
- ttp://www.creators-fukuoka.com/
クロスサイトスクリプティング出来る?
- 96 :nobodyさん:2006/08/07(月) 13:26:57 ID:???.net
- 保守
- 97 :nobodyさん:2006/09/28(木) 06:10:16 ID:???.net
- http://pc8.2ch.net/test/read.cgi/hp/1145956119/413
- 98 :nobodyさん:2008/05/08(木) 19:41:05 ID:CmE1kuyM.net
- age
- 99 :nobodyさん:2008/08/22(金) 19:39:26 ID:???.net
- ttp://youtube2.in/
<
>
"
あたりエスケープできてなくね。
- 100 :nobodyさん:2008/08/22(金) 19:40:33 ID:???.net
- age
- 101 : 忍法帖【Lv=6,xxxP】 :2011/05/19(木) 08:58:32.38 ID:???.net
- tes
- 102 :nobodyさん:2011/05/22(日) 16:35:47.30 ID:riL4CCVW.net
- _
r-、' ´ `ヽr-、
ィ7 /l: ハヽハ トヾ 駄スレを隠すことは、この俺が許さん!
'|l |'´_` ´_ `| || 信念に基づいて行動する。
| |´ヒ} ヒ}`! l| それを人は正義と言う。
__ノ゙). 从 l, _'_. |从 今俺が行ってることは、上げ荒らしではない。
,_'(_ ノ_ヽ ヾl.> - ,イ;リ 正義という名の粛清だぁ!
{ f:テ} {'f:テ}',/\ヽ--//ヽ
ヽ,r─‐ 、ィ .、、 i l>Y<! i '、 バーニング!
/ iゝ_ノ iヽ /l |l l ',
lンヽ/ムノじ
- 103 :nobodyさん:2012/10/19(金) 02:23:34.33 ID:???.net
- あげ
- 104 :nobodyさん:2012/10/19(金) 02:24:29.53 ID:F/2XWufo.net
- あげそこなった
- 105 :" onmouseover="alert(1):2014/07/19(土) 22:37:48.57 ID:CCECIglIU
- "'><marquee>
- 106 :nobodyさん:2015/11/04(水) 19:17:29.07 ID:gcyCvqHq.net
- 転職時の注意事項。
下記の条件が全て当てはまる会社にご注意下さい。
・IT系 in Tokyo
・転職会議で2.5点
・転職会議の「その他>2ch情報」の欄で過去の労基2chスレが表示される
- 107 :nobodyさん:2017/01/21(土) 19:02:09.87 ID:iuL6ICc7.net
- ぬるぽ
- 108 :nobodyさん:2017/12/30(土) 15:46:21.84 ID:YhlYw6jg.net
- 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
4DKB1XYW1O
- 109 :nobodyさん:2019/02/10(日) 00:29:53.80 ID:irY2hutm.net
- 私はユーザーとして、2ちゃんねるでこのクロスサイトスクリプティングをされた可能性があるのですが、
もしされてしまった後はどうしたら良いでしょうか?
教えてください。
大変困っています。
- 110 :プーチン発の危機:2022/02/26(土) 12:09:40.67 ID:WEIXupXE.net
- ウクライナ危機、米国は日本の“弱腰対応”を許さない構え 遠のく「北方領土返還」
- 111 :ロシア、外貨の両替停止 欧米制裁で深刻な不足か:2022/03/10(木) 02:41:37.90 ID:ZzSzzF4L.net
- ロシア中央銀行は9日、市中の銀行が国民に外貨を売ることを停止すると発表した。
これを受け、外貨両替ができなくなる。ウクライナ侵攻に伴う欧米の制裁で中銀が保有する外貨準備が凍結されたため、深刻な外貨不足に見舞われているもようだ。
- 112 :nobodyさん:2024/01/26(金) 10:35:32.60 ID:vUVMiSlv7
- ワクチン打って死亡しまくってる事実のみならす゛核汚染水たれ流しても海水の放射能濃度は基準を下回ってるだの人の命より拝金の
プロパカ゛ンタ゛放送局た゛らけでほとんと゛報道されていないか゛今年5月にはフクシマ沖の魚から18000ヘ゛クレ儿(━般人の年間被曝限度の1/3)もの
セシウ厶が検出されてるのが現実だしそんな新鮮なセシウ厶魚を売りつけるためにタダ同然の運送費て゛都心まて゛数珠つなぎて゛鉄道の30倍以上
もの莫大な温室効果カ゛スをクソ航空機にまき散らさせながら海外やらのバ力に売りつけて氣候変動させて地球破壞して洪水,土砂崩れ,暴風
熱中症にと災害連發させて住民の生命と財産を強奪して切り売りして破壊して『自然のことた゛から仕方か゛ないねえ」だの金て゛雇ったかのような
ハ゛カのヰン夕ヒ゛ュ‐まて゛織り交ぜながら洗脳報道を繰り返して国民た゛まくらかして世界最惡の脱炭素拒否テ口国家に送られる不名誉賞化石賞か゛
4連続て゛送られたりと世界中から非難されてる現実すらほとんと゛報道しないクソシナまでドン引きの報道統制腐敗國家日本
魚の輸入だの日本に行くた゛の嫌がるよう世界中の人々に真実を広めて自民公明の鬼畜な陰謀を阻止しよう!
(ref.) ttps://www.call4.jp/info.php?type=items&id=I0000062
ttps://haneda-project.jimdofree.com/ , ttps://flight-route.com/
ttps://n-souonhigaisosyoudan.amebaownd.com/
24 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★