久々にCSSXSSの話
2008年11月12日(水曜日)
久々にCSSXSSの話
公開: 2024年4月25日15時25分頃
- 「CSSXSSを改良した?手法でmixiのpost_keyを抜き取るデモを作りました (d.hatena.ne.jp)」
- 「mixiのpost_keyを取得するデモンストレーション (k75.s321.xrea.com)」
mixiにログインした状態でIE6(多分7でもいける)でこのページを訪問したらあなたのpost_keyを表示します。
あなたのpost_keyは取得失敗です。
手元のIE7ではうまく動作しないようで。何処が動作していないのかは未調査なので、たまたま動作しないのか、対策されているのかは良く分かりませんが。
まあ、いずれにしてもブラウザの脆弱性ということでしょう。
- 「久々にCSSXSSの話」へのコメント (2件)
- 前(古い): 何処でエスケープするのかハッキリしないと
- 次(新しい): 大東京トイボックス 3
