葉っぱ日記 - ha.ckers.org web application security lab - Archive » Additional Non Alpha Non Digit Character Evasion

暮らしカテゴリーの変更を依頼記事元:

hasegawa.hatenablog.com

7 usersがブックマークコメント

コメント

2

記事へのコメント2件

注目コメント
新着コメント

Cherenkov script の後ろにゴミを付け加えて、"<script" + XX + ">" のような表記にしてもスクリプトが動作する。

xss

2009/03/31 リンク

macks タグの中に空白やコメントを入れてXSS。

セキュリティ

2006/11/06 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

葉っぱ日記 - ha.ckers.org web application security lab - Archive » Additional Non Alpha Non Digit Character Evasion

script の後ろにゴミを付け加えて、"<script" + XX + ">" のような表記にしてもスクリプトが動作する。X... script の後ろにゴミを付け加えて、"<script" + XX + ">" のような表記にしてもスクリプトが動作する。XX に指定可能な文字は、IE6 では 0x00、0x09、0x0B、0x0C、0x20、0x2F。Firefox 1.5.0.7 では 0x08、0x09、0x20 となっている。というお話。もう少し説明すると、IEでは 0x00 は完全に無視されますので、0x00 's' 0x00 'c' 0x00 'r' 0x00 'i' 0x00 'p' 0x00 't' のような表記でもスクリプトは動作します。また、0x0B や 0x0C はスペースと同意に扱われるようです。これらの応用としては、上記記事で挙げられている "script" の後ろに付け加えられるという例よりは <div (0x0B)onmouseover="...">のようなイベントハンドラの記述への適用

ブックマークしたユーザー

Cherenkov2009/03/31
rack9902008/12/27
ockeghem2008/12/25
macks2006/11/06
mickn2006/11/06
nobody2006/11/06

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx