記事個別表示 (7330)
これは「水無月ばけらのえび日記 : 平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」に関連するコメントです。
[7330] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」
ると (2012年5月3日 22時57分)
「このコードに限定した話」かつ「攻撃さえ防げれば良く、不具合があっても良い」と想定した場合において、
単引用符(およびバックスラッシュ)をエスケープするだけだと、
「" onmouseover="alert(document.cookie)" onmousedown="」
という文字列でダメにならないでしょうか。
コード
https://gist.github.com/2583211
出力
<a name="#" onclick="alert('" onmouseover="alert(document.cookie)" onmousedown="')">
previous search word
</a>
これは「水無月ばけらのえび日記 : 平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」に関連するコメントです。
全読: [7320]Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」からのスレッド(4件)]