新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > [7330] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」

記事個別表示 (7330)

これは「水無月ばけらのえび日記 : 平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」に関連するコメントです。

[7330] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」

ると (2012年5月3日 22時57分)

「このコードに限定した話」かつ「攻撃さえ防げれば良く、不具合があっても良い」と想定した場合において、

単引用符(およびバックスラッシュ)をエスケープするだけだと、

「" onmouseover="alert(document.cookie)" onmousedown="」

という文字列でダメにならないでしょうか。

コード

https://gist.github.com/2583211

出力

<a name="#" onclick="alert('" onmouseover="alert(document.cookie)" onmousedown="')">

previous search word

</a>

これは「水無月ばけらのえび日記 : 平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」に関連するコメントです。
全読: [7320]Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」からのスレッド(4件)]
- [7320] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」 : えむけい (2012年5月1日 0時35分)
  - [7324] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」 : ばけら (2012年5月1日 22時56分)
- [7330] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」 : ると (2012年5月3日 22時57分)
- [7331] Re:「平成24年度春期情報セキュリティスペシャリスト試験のXSS問題」 : ると (2012年5月3日 23時5分)

新生鳩丸掲示板♯

最近の日記

関わった本など