パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

秀逸なXSSの練習サイト」記事へのコメント

  • Stage #3で音を上げた俺と違って、他の人は今頃どんどん先に解き進めてる最中だからなんだろうなきっと!

    orz
    • by Anonymous Coward
      現在、Stage:#9です。UTF-7 XSSが必要となるここから先は無理っぽい気がしてきましたので、うち止めして報告します。
      とりあえず、#3を越える方法ですが、これ以降はフィールドの値を変える必要があるため、Firebug [mozilla.org]が必須になります (Firefoxユーザーの場合)。Firebugで開いた上で、HTML→Editで適当にソースを変更してhiddenフィールドなどを改造していきましょう。
      もちろん、コンソールでalert(document.domain)を打つなどチートは幾らでも出来ますけど、そういうのは無しの方向で。

      昔、hiddenパラメーターの中身をいじると管理者権限が取れるヤバいサーブレットを見せられたのを思い出した。当時から既にセキュリティホールが見つけられたと騒いでいたけれどどうなったんだろうか...
      • あれ?IDで書いたはずなのにACになってるよ。 ちなみに、#9は『+ADw-』と『+AD4-』がそれぞれ『<』や『>』と解釈されるのを悪用するのだと思う。 この前の奴はonmouseover=を無駄につけてみたり、『"』を余計につけてみたり、HTMLレベルでつけられた制限を破壊したり、hiddenを書き換えたりしてがんばると解けたような気がする。これらの合わせ技というのもあるが。 健闘を祈る。
        • by Anonymous Coward
          #11で飽きたけど、なんかこれ最後までやっても為にならん気がする。

          だいたい、scriptをxscriptに変えるより、htmlspecialchars通した方が楽で有効でないかい?
          • by Anonymous Coward
            ん~。
            >scriptをxscriptに変えるより、
            そういうのをしているアプリがまだまだ多いので警鐘かもねぇ?

            >htmlspecialchars通した方が
            「それでもだめな場合」があるから最後までやってもいいんじゃないかと思う。「それでもだめな場合」がこの練習問題に登場しているかどうかわからないけど。ん?エンコードごまかし系があるなぁ確か。bookmarklet作っておいてざっと問題ページだけ見てきただけでいっているんですまん。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...