記事個別表示 (2584)
これは「水無月ばけらのえび日記 : ASP.NET に XSS?」に関連するコメントです。
[2584] Re: 「ASP.NET に XSS?」
えむけい (2005年2月19日 23時47分)
これ、windows-1251にしか触れてないのは報告者がロシア人だからであって、Windows 2000以降では1バイト系のエンコーディングへの変換はすべて全角→半角のfallbackが入ってるので、同様の攻撃が成立すると思います。確かめてませんけど。
validateRequestが危険なJavaScriptっぽいものまで検査するかどうかは知りませんが、Shift_JISでもU+00A5が0x5cに変換されるってネタがありますね。って前にも似たようなことを書いた気が【謎】。
これは「水無月ばけらのえび日記 : ASP.NET に XSS?」に関連するコメントです。
全読: [2584]Re: 「ASP.NET に XSS?」からのスレッド(12件)]