超絶技巧CSRF / Shibuya.XSS techtalk #7CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackã«ã¤ã„ã¦
XSSã‚’å ±å‘Šã—ãŸã‚‰ã¡ã‚‡ã£ã¨ä¸ä¾¿ã«ãªã£ãŸ - ãƒãƒ©ãƒ³ã‚¹ã‚’å–ã‚ŠãŸã„
ã“ã®è¨˜äº‹ã¯è„†å¼±æ€§"&'<<>\ Advent Calendar 2015ã®16日目ã®è¨˜äº‹ã§ã™ã€‚ 2015å¹´ã®ã‚¢ãƒ‰ãƒ™ãƒ³ãƒˆã‚«ãƒ¬ãƒ³ãƒ€ãƒ¼ã§ã™ãŒã€å¤§æ˜”(2013å¹´)ã«ãƒŸã‚¹ã‚¿ãƒ¼ãƒ‰ãƒ¼ãƒŠãƒ„å…¬å¼ãƒšãƒ¼ã‚¸ã«ã‚ã£ãŸXSSã®è©±ã‚’ã—ã¾ã™ã€‚ 2013å¹´3月 ミスタードーナツã®å…¬å¼ã‚µã‚¤ãƒˆã¸è¡Œã£ãŸæ™‚ã€å¶ç„¶ã«ã‚‚検索画é¢ã§æ€ªã—ã„æ–‡å—列を発見ã—ã¦ã—ã¾ã„ã¾ã—ãŸã€‚最近ã§ã¯ã‚ã¾ã‚Šè¦‹ã‹ã‘ãªããªã£ãŸ ie=utf-8&oe=utf-8 ã®ã‚ˆã†ãªãƒ‘ラメータã§ã™ã€‚ XSS界隈ã®äººãªã‚‰æらãã“ã‚“ãªæ„Ÿã˜ã®ãƒ‘ラメータを見ãŸã‚‰ã¡ã‚‡ã£ã¨å¤‰ãˆã¦ã¿ã¦ã©ã®ã‚ˆã†ãªæŒ™å‹•ã‚’èµ·ã“ã™ã‹è©¦ã—ãŸããªã‚‹ã¯ãšã§ã™ã€‚ 実際ã«oe=utf-8を変ãˆãŸã‚‰ãã‚Œã«å¯¾å¿œã™ã‚‹å€¤ãŒmetaã®charsetã«å…¥ã‚‹ã‚ˆã†ã§ã—ãŸã€‚当時ã®ã“ã¨ã‚’詳ã—ã覚ãˆã¦ã„ã¾ã›ã‚“ãŒã€ã“ã“ã‹ã‚‰ç›´æŽ¥XSSã—ãŸã‚ã‘ã˜ã‚ƒãªã„ã®ã§å¤šåˆ†å€¤ã¯ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã•ã‚Œã¦ã„ãŸã¨æ€ã„ã¾ã™ã€‚ エンコーディング周りã§ã¯å½“時UTF-7ãŒçµ‚ã‚ã‚Šã‚’è¿Žãˆã‚‹æ™‚
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
処ç†ã‚’実行ä¸ã§ã™
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}