0001名無しさん@お腹いっぱい。01/10/27 10:37ID:AENF9z2S
0062a02/06/27 00:50ID:awVCb82d
&{document.captureEvents(Event.LOAD);window.onload=new Function('for(var i=0;Boolean(document.links[i]);i++)document.links[i].href=\'\';')};
0064nobodyさん03/01/10 01:43ID:QhQLqNIU
Struts使おう。
0066奥さん ◆mL2ZRk1cK. 03/01/18 07:27ID:AxdRMTC9
d
0067奥さん ◆0Z6Yhsb88E 03/01/18 07:27ID:AxdRMTC9
aq
0068奥さん ◆E39m/9K3xY 03/01/18 07:28ID:AxdRMTC9
qwe
0069奥さん ◆8WgvSovIKg 03/01/18 07:28ID:AxdRMTC9
qwer
0070奥さん ◆ABM5odHy/Q 03/01/18 07:29ID:AxdRMTC9
12345
0071奥さん ◆bc.v5kgifQ 03/01/18 07:30ID:AxdRMTC9
hfjfjf
0072奥さん ◆IGEMrmvKLI 03/01/18 07:31ID:AxdRMTC9
vbncnnb
0073奥さん ◆tsGpSwX8mo 03/01/18 07:31ID:AxdRMTC9
hhhhhhhh
0074奥さん ◆Mjk4PcAe16 03/01/18 07:32ID:AxdRMTC9
fhfhfhfhfh
XSS対策のひとつとして、「エスケープ処理」がある。
これはCGIが扱うパラメータが多くなってくると、ついつい忘れてしまう煩雑で面倒な処理だが、
もしあなたがPerlユーザなら、HTML::Templateを使うことによってエスケープを
テンプレート側に記述し、プログラム側から完全に追い出してしまうことができる。
<input type="hidden" value="<tmpl var="aniti_xss_value" escape="url">">
<input type="text" value="<tmpl var="aniti_xss_text" escape="html">">
最後のescape属性に注目だ。これを指定してやるだけで、
テンプレートにセットした変数は適切にエスケープされるようになる。
もう、escape関数を呼びまくる必要はないんだ!ひゃっほう!
ps.この情報がXSS対策に頭を悩ますCGI製作者の助けになることを祈ってるよ。
0078nobodyさん03/01/21 19:45ID:eVlnRoM0
対策ではなくクキー盗む方法なのだが。
JBBSなどレンタル系の掲示板で使える。(htmlにログを表示して、javascriptでクッキーを読み出すもの)
レンタル系の掲示板は、自分が書き込んだ掲示板以外の板にもクッキーが適応されるところが多い。
(たとえば、http://jbbs.shitaraba.com/business/1/に書き込むとhttp://jbbs.shitaraba.com/business/2/の板にも適応される。)
これを利用して、自分の掲示板に書き込まれなくてもクッキーに入っているデータを取得できる。
具体的方法として
1.GET(QUERY_STRING)からのデータをテキストに保存するCGIを作成し、適当なフリーサーバに設置
2.ターゲットと同じレンタルBBSを借りる。
3.HTMLクッキー取得部分を調べてjavascriptで1のCGIに渡す。
4.ターゲットの掲示板にそれらしい理由を付けてカキコ 0079nobodyさん03/01/21 23:40ID:ByrQNqOs
クッキーのpathを / とかにしてるんだろうね。
名前が漏れるくらいはなんでもないけど
トリップやキャップもクッキーに入ってるとなりすましが出来ると。
0081nobodyさん03/01/28 20:54ID:wWZkstRp
>>80
ウゲ
でも
> サーバのTRACEメソッドが機能している場合
ってどういう場合なの? TRACE / HTTP/1.1
Host: localhost
Authorization: Basic
HTTP/1.1 200 OK
Date: Sun, 11 May 2003 11:07:46 GMT
Server: Apache/1.3.27
Transfer-Encoding: chunked
Content-Type: message/http
50
TRACE / HTTP/1.1
Authorization: Basic lG+/r4+/j6+/64FgKHc=
Host: localhost
0
(((;゚Д゚))ガクガクブルブル
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
0091nobodyさん03/08/28 13:53ID:5epBRgUL
2chにはもうXSS使える穴は無い?
そうか…
XSS使えばフレームでの別ドメインの制限が回避出来るんだけどなー…
0094nobodyさん03/12/27 14:03ID:6Fk7/T/f
XSSをさらすスレはここですか?
ttp://www.creators-fukuoka.com/
クロスサイトスクリプティング出来る?
0098nobodyさん2008/05/08(木) 19:41:05ID:CmE1kuyM
age
ttp://youtube2.in/
<
>
"
あたりエスケープできてなくね。
0102nobodyさん2011/05/22(日) 16:35:47.30ID:riL4CCVW
_
r-、' ´ `ヽr-、
ィ7 /l: ハヽハ トヾ 駄スレを隠すことは、この俺が許さん!
'|l |'´_` ´_ `| || 信念に基づいて行動する。
| |´ヒ} ヒ}`! l| それを人は正義と言う。
__ノ゙). 从 l, _'_. |从 今俺が行ってることは、上げ荒らしではない。
,_'(_ ノ_ヽ ヾl.> - ,イ;リ 正義という名の粛清だぁ!
{ f:テ} {'f:テ}',/\ヽ--//ヽ
ヽ,r─‐ 、ィ .、、 i l>Y<! i '、 バーニング!
/ iゝ_ノ iヽ /l |l l ',
lンヽ/ムノじ
0104nobodyさん2012/10/19(金) 02:24:29.53ID:F/2XWufo
あげそこなった
∧_∧
( ・∀・) | | ガガッ
と ) | |
Y /ノ .人
/ ) .人 < >_∧∩
_/し' < >_∧∩`Д´)/
(_フ彡 V`Д´)/ / ←>>88
/ ←>>83 0106nobodyさん2015/11/04(水) 19:17:29.07ID:gcyCvqHq
転職時の注意事項。
下記の条件が全て当てはまる会社にご注意下さい。
・IT系 in Tokyo
・転職会議で2.5点
・転職会議の「その他>2ch情報」の欄で過去の労基2chスレが表示される
0107nobodyさん2017/01/21(土) 19:02:09.87ID:iuL6ICc7
ぬるぽ
0108nobodyさん2017/12/30(土) 15:46:21.84ID:YhlYw6jg
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
4DKB1XYW1O
0109nobodyさん2019/02/10(日) 00:29:53.80ID:irY2hutm
私はユーザーとして、2ちゃんねるでこのクロスサイトスクリプティングをされた可能性があるのですが、
もしされてしまった後はどうしたら良いでしょうか?
教えてください。
大変困っています。
0110プーチン発の危機2022/02/26(土) 12:09:40.67ID:WEIXupXE
ウクライナ危機、米国は日本の“弱腰対応”を許さない構え 遠のく「北方領土返還」
0111ロシア、外貨の両替停止 欧米制裁で深刻な不足か2022/03/10(木) 02:41:37.90ID:ZzSzzF4L
ロシア中央銀行は9日、市中の銀行が国民に外貨を売ることを停止すると発表した。
これを受け、外貨両替ができなくなる。ウクライナ侵攻に伴う欧米の制裁で中銀が保有する外貨準備が凍結されたため、深刻な外貨不足に見舞われているもようだ。