93 :
名無しさん@お腹いっぱい。:03/10/19 18:40
今日の情報セキュリティ試験でXSSが出て来た…
94 :
名無しさん@お腹いっぱい。:03/10/19 22:37
>>93 Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
[ b ]が存在した場合には,それらに対するエスケープ処理をWebサーバが
実施しなければならないといったことがあります。
bに相当するのは普通「スクリプト」だと思うんだが、解答群に無かったよな。
95 :
名無しさん@お腹いっぱい。:03/10/19 23:44
>>94 メタキャラクタでいいんじゃない?
要は不等号をタグとして扱わなければいい訳だし。
>>95 うん。漏れもメタキャラクタにしたんだけどXSS対策に限定すると
何か回答としてはイマイチだなぁと。
97 :
名無しさん@お腹いっぱい。:03/10/27 21:29
総務省お抱えのcrowechizekはFlash,HTML両バージョンともダメダメ。
Flashでは応答返ってこないし、HTMLでは文字大きくなるし。
"<H1>No medicine can cure a fool</H1>
98 :
名無しさん@お腹いっぱい。:03/10/28 22:43
↑IIS?
99 :
名無しさん@お腹いっぱい。:03/10/30 10:56
> Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
リクエストに対して返すコンテンツ中のメタキャラクタを全部エスケープしち
まったら、HTMLが全部ソースで見えちまうだろ。大丈夫か、その試験。
>>94 スクリプト を エスケープする とは言わない。
エスケープする対象として日本語的に適切な選択肢を選べば回答できる。
他にはどんな選択肢があったの?
101 :
名無しさん@お腹いっぱい。:04/01/07 12:29
最近話題にもならなくなったな
102 :
名無しさん@お腹いっぱい。:04/02/04 00:16
103 :
名無しさん@お腹いっぱい。:04/02/04 00:32
104 :
名無しさん@お腹いっぱい。:04/04/11 21:36
ぱおぱおクッキー
105 :
名無しさん@お腹いっぱい。:04/04/11 23:30
2chにもクロスサイトスクリプティング脆弱性は結構あるよ。
106 :
名無しさん@お腹いっぱい。:04/04/12 08:53
言うだけなら誰でも出来る罠
>>106 実際にやるとどこかのおバカさんみたいに
ムショに連行される罠w
108 :
名無しさん@お腹いっぱい。:04/04/12 13:29
と言い訳をして具体例も挙げられない馬鹿もいるようで。
>>107 俺はハッカーだから鯖落としたりできるぜ! でも捕まるからやらない
ってな。捕まらないようにできない奴は単なる厨房
足跡ベタベタ残してならF5押してる馬鹿と同じ
最近落ち着いた?
111 :
名無しさん@お腹いっぱい。:04/09/16 16:51:06
みたいだね
112 :
名無しさん@お腹いっぱい。:04/10/18 10:27:10
懐かしいね
113 :
名無しさん@お腹いっぱい。:04/11/19 17:45:06
想定される被害で考えたらXSSは「だからなに?」って程度のもんだよ。
Phishingに使われちゃうとかだろうな、今だと。
あとあれか、「XSSほっといてるってコトは他にも穴がバンバンあるだろうーな」
「この会社はセキュリティ対策してねーな」って思われちゃう位だろうか。
115 :
名無しさん@お腹いっぱい。:2005/05/19(木) 16:29:50
質問させてください。
クロスサイトスクリプティングに関して、概要や対策を紹介したページは多々あるんですが、
実際自分のWEBサイトが攻撃の踏み台にされたかどうかの確認する方法ってあるんでしょうか?
つまりWEBサイト上に形跡が残るものかどうかということを知りたいです。
116 :
名無しさん@お腹いっぱい。:2005/07/08(金) 16:40:25
あっそ
117 :
名無しさん@お腹いっぱい。:2005/07/24(日) 15:08:01
119 :
名無しさん@お腹いっぱい。:2006/06/03(土) 15:48:50
120 :
名無しさん@お腹いっぱい。:2007/04/05(木) 16:35:01
122 :
名無しさん@お腹いっぱい。:2008/06/03(火) 21:25:27
>>119 メール送信ワームが作成する圧縮ユーティリティ
ワームが自分自身を圧縮してKellyOsbourne.com.gzという
ファイルを作るためのもの。
早い話がワームがすでに実行されたことを意味するよ。
123 :
名無しさん@お腹いっぱい。:2008/06/05(木) 00:12:08
2年物の自演てすごいよな
125 :
名無しさん@お腹いっぱい。:2009/06/12(金) 03:34:55
126 :
名無しさん@お腹いっぱい。:2009/06/12(金) 03:35:14
127 :
名無しさん@お腹いっぱい。:2010/09/05(日) 10:10:20
うーん
128 :
ひみつの検疫さん:2024/05/03(金) 08:45:39 ID:MarkedRes
汚染を除去しました。
∧_∧
( ・∀・) | | ガッ
と ) | |
Y /ノ 人
/ ) < >__Λ∩
_/し' //. V`Д´)/ ←
>>81 (_フ彡 /
test
131 :
名無しさん@お腹いっぱい。:2013/01/24(木) 21:26:51.65
過疎スレがこんなところにも。
132 :
名無しさん@お腹いっぱい。:2013/02/09(土) 00:06:11.18
タグを使えないネトゲのマイページのプロフィール欄に
外部のブログパーツのスクリプトを引っ張ってきたいのですが、
どのようにやればいいのでしょうか。
ご教示いただけますか?
ほかの人のやっているののソースを見ると、
アンカーが二重<<>>になっているだけのようなのですが
それで書き込んでもはじかれてしまいます。
しらべてみて、文字コードによるハック?ということまでたどりついたのですが
実際のやり方がわかりません。
詳しい方おしえてください。よろしくお願いします。
<script>alert(1);</script>
<script>alert("a");</script>
>>javascript:alert(1)
onmouseover='alert(1)'
onmouseover=alert(1)//
" onmouseover="alert(1)
139 :
名無しさん@お腹いっぱい。:2013/12/22(日) 01:29:23.82
test
<iframe style='display:none'><script>alert(1)</script></iframe>
140 :
javascript:alert(8):2014/07/19(土) 22:32:41.10
'>"><hr>
141 :
名無しさん@お腹いっぱい。:
そりゃそうだ