TERRY @terry_u16 湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ!イッぐぅぅ!!");}</script> 湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ 2017-04-28 12:02:34
TERRY @terry_u16 湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ!イッぐぅぅ!!");}</script> 湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ 2017-04-28 12:02:34
今回の 2ch の XSS については、2chのサーバが外部のサービス経由のデータをHTMLに組み入れる際に、Shift_JIS において文字として完結していない半端バイトと、HTMLタグの属性値のダブルクォート (") が結合して Shift_JIS の2バイト文字としてブラウザが扱うことにより、属性値の終了を意味するダブルクォート (") が消失してしまい、メールアドレスとして入力した不正な JavaScript コードが実行されてしまうというものです。 5日前にもコメント [srad.jp] しましたが、詳しくは、文字コードの脆弱性はこの3年間でどの程度対策されたか? [slideshare.net] を読んでいただけると、原因と対策が分かりやすいです。 マルチバイトXSSに関しては、プラットフォーム側での対策は進んでいますが、ユーザー(解説本の著者を含む)の理解が不十分です。大きな
脆弱性を利用し、バラク・オバマ米大統領が質問しているかのように見せかけるJavaScriptが埋め込まれるなど、いたずらも行われていた。画像は、埋め込まれたJavaScriptの挙動を再現したもの 脆弱性があったのは、「あなたが最近見たQ&A」機能。複数のユーザーが知恵袋の投稿などを通じて指摘しており、脆弱性について解説するブログも話題になっていた。 ヤフーは、ブログの指摘を見た社員からの報告を受け、22日朝に脆弱性を認知し、22日昼までに対処したという。 関連記事 WordPressの更新版公開、XSSなどの脆弱性を修正 従来バージョンのユーザーに対し、ただちにWebサイトをアップデートするよう強く勧告している。 Google、脆弱性情報に支払う報奨金を大幅アップ Googleは、同社の主要アプリケーションの脆弱性を見つけることの難しさを勘案して、報償額を大幅に引き上げた Apple、O
2013-07-22 Yahoo!知恵袋にXSS?(その2) ブコメから、 netcraft XSS localStorageの保存件数が5件までなので、5件安全な質問を見ればスクリプトは実行されなくなるけど、他に危険なJS仕込まれる可能性があるし、Yahooが対応するまでは回答にあるユーザースクリプトを入れておいた方が良いな あぁ、localStorageなんですね。早速、質問者が必ずオバマになるという、凝ったいたずらも登場してますがw #アイコンがいいですね(笑)とりあえず、回答にあるJavaScriptを使うか、WebブラウザのディベロッパーツールからlocalStorageを削除しましょう。 Chromeだったら、開発/管理 -> ディベロッパーツール -> Resouce -> Local Storage -> http://detail.chiebukuro.yahoo.
2013-07-22 Yahoo!知恵袋にXSS? <script>alert("xss");</script> これであなたもおしまいです。 - Yahoo!知恵袋 ryosuke_i_628さん「あなたが最近見たQ&A」にXSS脆弱性があるみたいですね・・・ あー、そうみたいですね。history.jsで // タイムスタンプでソート items.sort(function(a, b) { return (a.timestump < b.timestump) ? 1 : -1; }); var html = ''; for(var i = 0; i < items.length; i++) { value = items[i]; var href = self.RD_URL + 'PAGE=' + page + '/LOC=' + loc + '/R=' + (i + 1) + '/*
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く