250
1
徳丸浩の日記 - XSSテスト画像 - JavaScriptを埋め込んだ画像を作ってみました 
http://www.tokumaru.org/d/20070717.html#p01 本文へ
- みんなのタグ:
-
(本文から引用)
[PR] 留学トップ«前の日記(2007-07-16)最新次の日記(2007-07-24)»編集過去の日記2007-122007-112007-092007-082007-072007-062007-052007-07-17 XSSテスト画像●JavaScriptを埋め込んだ画像を作ってみました 寺田さんの日記に触発されて、JavaScriptを埋め込んだPNG画像を作ってみました。
注意:この画像にはJavaScriptが埋め込んであります。
ここをクリックすると、JavaScriptが発動し、あなたのクライアント上でCookieの値を表示します(IE限定です)
追記ImageMagic の convertコマンドでPNG→GIF→PNGと変換しても、JavaScriptは削除されませんでした。これは、T.Teradaさんの解説の追試に過ぎませんが、一応ご報告まで。追記(2007/10/10)MS07-057のパッチを適用したところ、PNG画像は正しく画像として認識されるようになり、JavaScriptも起動しなくなることを確認しました。手元のIE7にて確認しております。本日のツッコミ(全...
この記事をクリップしたユーザー一覧
おすすめ商品(Amazon)
|
|
|
|
|---|---|---|---|
F.S.S. DESIGNS 3 KALAMITY GODDERS:BOTH25人がクリックしました
著者:永野 護 |
よつばと! 8 (8) (電撃コミックス)119人がクリックしました
著者:あずま きよひこ |
ムダヅモ無き改革 (近代麻雀コミックス)17人がクリックしました
著者:大和田 秀樹 |
同じサイトでクリップされている記事
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ
> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか -
å¾³ä¸¸æµ©ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè 本文へ
SQLインジェクションの解説 -
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ
画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。



