日記のタイトルに<script>alert(document.cookie)</script>が含まれると?
2011年9月13日(火曜日)
日記のタイトルに<script>alert(document.cookie)</script>が含まれると?
公開: 2011年9月13日10時50分頃
セキュリティホールmemo (www.st.ryukoku.ac.jp)にこんな話が。
Google Reader さんで見ると、こんなふう (twitpic.com)になっちゃうんだけど、XSS脆弱性ありなのかしら。
以上、セキュリティホールmemo より
<i>という文字列が入っているはずのタイトルから<i>が抜けて、かつ斜体で表示されているようですね。
いやな予感はしますが、属性なしの<i>や<b>だけ許可されている、というパターンもありえると思います。
たとえば、タイトルに <script>alert(document.cookie)</script> という文字列が入ったもので試してみるとはっきり分かりそうです。
- 「日記のタイトルに<script>alert(document.cookie)</script>が含まれると?」にコメントを書く
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性
- 前(古い): 漢のロマンと瀬戸際外交
- 次(新しい): A3 その1 : A,A2からA3への流れ
