2ちゃんねる ■掲示板に戻る■ 全部 1- 最新50    

クロスサイトスクリプティング対策

1 :名無しさん@お腹いっぱい。:01/10/27 10:37 ID:AENF9z2S.net
http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf

簡単にいって、フォームの入力をサーバサイドで処理してHTMLと
して出力する時に、文字のエスケープを適切に行わないと、
Cookieを取得するJavaScriptを埋め込み&出力結果を別サイトに
リダイレクトする、というような方法を使ってCookieを第三者に
盗まれる可能性がある、ということです。

上の資料を参考にしながら、
それぞれの処理系における、どのようの文字列エスケープを行うべきか、
といったサーバサイドの対策に関する情報を交換していきたいと思います。

63 :nobodyさん:02/12/06 16:58 ID:???.net
ここで配布してるスクリプトも脆弱性の問題あり?

http://www.onpuch.jp/files/onpuch.zip

64 :nobodyさん:03/01/10 01:43 ID:QhQLqNIU.net
Struts使おう。

65 :山崎渉:03/01/16 03:36 ID:???.net
(^^)

66 :奥さん ◆mL2ZRk1cK. :03/01/18 07:27 ID:AxdRMTC9.net
d

67 :奥さん ◆0Z6Yhsb88E :03/01/18 07:27 ID:AxdRMTC9.net
aq

68 :奥さん ◆E39m/9K3xY :03/01/18 07:28 ID:AxdRMTC9.net
qwe

69 :奥さん ◆8WgvSovIKg :03/01/18 07:28 ID:AxdRMTC9.net
qwer

70 :奥さん ◆ABM5odHy/Q :03/01/18 07:29 ID:AxdRMTC9.net
12345

71 :奥さん ◆bc.v5kgifQ :03/01/18 07:30 ID:AxdRMTC9.net
hfjfjf

72 :奥さん ◆IGEMrmvKLI :03/01/18 07:31 ID:AxdRMTC9.net
vbncnnb

73 :奥さん ◆tsGpSwX8mo :03/01/18 07:31 ID:AxdRMTC9.net
hhhhhhhh

74 :奥さん ◆Mjk4PcAe16 :03/01/18 07:32 ID:AxdRMTC9.net
fhfhfhfhfh

75 :nobodyさん:03/01/19 15:22 ID:???.net
荒らされてる

76 :nobodyさん:03/01/19 15:58 ID:???.net
XSS対策のひとつとして、「エスケープ処理」がある。
これはCGIが扱うパラメータが多くなってくると、ついつい忘れてしまう煩雑で面倒な処理だが、
もしあなたがPerlユーザなら、HTML::Templateを使うことによってエスケープを
テンプレート側に記述し、プログラム側から完全に追い出してしまうことができる。

<input type="hidden" value="<tmpl var="aniti_xss_value" escape="url">">
<input type="text" value="<tmpl var="aniti_xss_text" escape="html">">

最後のescape属性に注目だ。これを指定してやるだけで、
テンプレートにセットした変数は適切にエスケープされるようになる。
もう、escape関数を呼びまくる必要はないんだ!ひゃっほう!

ps.この情報がXSS対策に頭を悩ますCGI製作者の助けになることを祈ってるよ。

77 :nobodyさん:03/01/19 16:01 ID:???.net
ヽ(゚∀゚)ノヒャホー

78 :nobodyさん:03/01/21 19:45 ID:eVlnRoM0.net
対策ではなくクキー盗む方法なのだが。
JBBSなどレンタル系の掲示板で使える。(htmlにログを表示して、javascriptでクッキーを読み出すもの)
レンタル系の掲示板は、自分が書き込んだ掲示板以外の板にもクッキーが適応されるところが多い。
(たとえば、http://jbbs.shitaraba.com/business/1/に書き込むとhttp://jbbs.shitaraba.com/business/2/の板にも適応される。)
これを利用して、自分の掲示板に書き込まれなくてもクッキーに入っているデータを取得できる。

具体的方法として
1.GET(QUERY_STRING)からのデータをテキストに保存するCGIを作成し、適当なフリーサーバに設置
2.ターゲットと同じレンタルBBSを借りる。
3.HTMLクッキー取得部分を調べてjavascriptで1のCGIに渡す。
4.ターゲットの掲示板にそれらしい理由を付けてカキコ

79 :nobodyさん:03/01/21 23:40 ID:ByrQNqOs.net
クッキーのpathを / とかにしてるんだろうね。
名前が漏れるくらいはなんでもないけど
トリップやキャップもクッキーに入ってるとなりすましが出来ると。

80 :nobodyさん:03/01/26 15:26 ID:???.net
XSS 脆弱性で Basic 認証のパスワードも盗まれるらしいぞ
http://memo.st.ryukoku.ac.jp/archive/200301.month/5237.html
(((;゚Д゚))ガクガクブルブル

81 :nobodyさん:03/01/28 20:54 ID:wWZkstRp.net
>>80
ウゲ
でも
> サーバのTRACEメソッドが機能している場合
ってどういう場合なの?

82 :山崎渉:03/04/17 12:26 ID:???.net
(^^)

83 :山崎渉:03/04/20 06:06 ID:???.net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

84 :nobodyさん:03/05/11 20:11 ID:???.net
TRACE / HTTP/1.1
Host: localhost
Authorization: Basic

HTTP/1.1 200 OK
Date: Sun, 11 May 2003 11:07:46 GMT
Server: Apache/1.3.27
Transfer-Encoding: chunked
Content-Type: message/http

50
TRACE / HTTP/1.1
Authorization: Basic lG+/r4+/j6+/64FgKHc=
Host: localhost


0

(((;゚Д゚))ガクガクブルブル

85 :山崎渉:03/05/22 02:10 ID:???.net
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

86 :山崎渉:03/05/28 17:16 ID:???.net
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

87 :山崎 渉:03/07/15 11:18 ID:???.net

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

88 :山崎 渉:03/08/02 02:34 ID:???.net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

89 :ぼるじょあ ◆ySd1dMH5Gk :03/08/02 05:12 ID:???.net
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

90 :山崎 渉:03/08/15 23:09 ID:???.net
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

91 :nobodyさん:03/08/28 13:53 ID:5epBRgUL.net
2chにはもうXSS使える穴は無い?

92 :nobodyさん:03/08/29 01:04 ID:???.net
半角で穴見つかったのが最後かな?

93 :nobodyさん:03/08/29 14:52 ID:???.net
そうか…
XSS使えばフレームでの別ドメインの制限が回避出来るんだけどなー…

94 :nobodyさん:03/12/27 14:03 ID:6Fk7/T/f.net
XSSをさらすスレはここですか?

95 :nobodyさん:2005/11/20(日) 11:58:56 ID:???.net
ttp://www.creators-fukuoka.com/
クロスサイトスクリプティング出来る?

96 :nobodyさん:2006/08/07(月) 13:26:57 ID:???.net
保守

97 :nobodyさん:2006/09/28(木) 06:10:16 ID:???.net
http://pc8.2ch.net/test/read.cgi/hp/1145956119/413

98 :nobodyさん:2008/05/08(木) 19:41:05 ID:CmE1kuyM.net
age

99 :nobodyさん:2008/08/22(金) 19:39:26 ID:???.net
ttp://youtube2.in/

<
>
"

あたりエスケープできてなくね。

100 :nobodyさん:2008/08/22(金) 19:40:33 ID:???.net
age

101 : 忍法帖【Lv=6,xxxP】 :2011/05/19(木) 08:58:32.38 ID:???.net
tes

102 :nobodyさん:2011/05/22(日) 16:35:47.30 ID:riL4CCVW.net
            _
        r-、' ´   `ヽr-、
       ィ7 /l: ハヽハ トヾ    駄スレを隠すことは、この俺が許さん!
        '|l |'´_` ´_ `| ||    信念に基づいて行動する。
        | |´ヒ}   ヒ}`! l|   それを人は正義と言う。
   __ノ゙). 从 l,  _'_.  |从   今俺が行ってることは、上げ荒らしではない。
 ,_'(_ ノ_ヽ ヾl.> - ,イ;リ    正義という名の粛清だぁ!
 { f:テ} {'f:テ}',/\ヽ--//ヽ    
 ヽ,r─‐ 、ィ .、、 i l>Y<! i '、    バーニング!
 / iゝ_ノ iヽ /l   |l  l   ',
 lンヽ/ムノじ

103 :nobodyさん:2012/10/19(金) 02:23:34.33 ID:???.net
あげ

104 :nobodyさん:2012/10/19(金) 02:24:29.53 ID:F/2XWufo.net
あげそこなった

105 :" onmouseover="alert(1):2014/07/19(土) 22:37:48.57 ID:CCECIglIU
"'><marquee>

106 :nobodyさん:2015/11/04(水) 19:17:29.07 ID:gcyCvqHq.net
転職時の注意事項。
下記の条件が全て当てはまる会社にご注意下さい。

・IT系 in Tokyo
・転職会議で2.5点
・転職会議の「その他>2ch情報」の欄で過去の労基2chスレが表示される

107 :nobodyさん:2017/01/21(土) 19:02:09.87 ID:iuL6ICc7.net
ぬるぽ

108 :nobodyさん:2017/12/30(土) 15:46:21.84 ID:YhlYw6jg.net
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。

グーグル検索⇒『半藤のブブイウイウレレ』

4DKB1XYW1O

109 :nobodyさん:2019/02/10(日) 00:29:53.80 ID:irY2hutm.net
私はユーザーとして、2ちゃんねるでこのクロスサイトスクリプティングをされた可能性があるのですが、
もしされてしまった後はどうしたら良いでしょうか?
教えてください。
大変困っています。

110 :プーチン発の危機:2022/02/26(土) 12:09:40.67 ID:WEIXupXE.net
ウクライナ危機、米国は日本の“弱腰対応”を許さない構え 遠のく「北方領土返還」

111 :ロシア、外貨の両替停止 欧米制裁で深刻な不足か:2022/03/10(木) 02:41:37.90 ID:ZzSzzF4L.net
ロシア中央銀行は9日、市中の銀行が国民に外貨を売ることを停止すると発表した。

 これを受け、外貨両替ができなくなる。ウクライナ侵攻に伴う欧米の制裁で中銀が保有する外貨準備が凍結されたため、深刻な外貨不足に見舞われているもようだ。

112 :nobodyさん:2024/01/26(金) 10:35:32.60 ID:vUVMiSlv7
ワクチン打って死亡しまくってる事実のみならす゛核汚染水たれ流しても海水の放射能濃度は基準を下回ってるだの人の命より拝金の
プロパカ゛ンタ゛放送局た゛らけでほとんと゛報道されていないか゛今年5月にはフクシマ沖の魚から18000ヘ゛クレ儿(━般人の年間被曝限度の1/3)もの
セシウ厶が検出されてるのが現実だしそんな新鮮なセシウ厶魚を売りつけるためにタダ同然の運送費て゛都心まて゛数珠つなぎて゛鉄道の30倍以上
もの莫大な温室効果カ゛スをクソ航空機にまき散らさせながら海外やらのバ力に売りつけて氣候変動させて地球破壞して洪水,土砂崩れ,暴風
熱中症にと災害連發させて住民の生命と財産を強奪して切り売りして破壊して『自然のことた゛から仕方か゛ないねえ」だの金て゛雇ったかのような
ハ゛カのヰン夕ヒ゛ュ‐まて゛織り交ぜながら洗脳報道を繰り返して国民た゛まくらかして世界最惡の脱炭素拒否テ口国家に送られる不名誉賞化石賞か゛
4連続て゛送られたりと世界中から非難されてる現実すらほとんと゛報道しないクソシナまでドン引きの報道統制腐敗國家日本
魚の輸入だの日本に行くた゛の嫌がるよう世界中の人々に真実を広めて自民公明の鬼畜な陰謀を阻止しよう!
(ref.) ttps://www.call4.jp/info.php?type=items&id=I0000062
ttps://haneda-project.jimdofree.com/ , ttps://flight-route.com/
ttps://n-souonhigaisosyoudan.amebaownd.com/

24 KB
新着レスの表示
掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :

read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★