hns - 日記自動生成システム - Version 2.19.7

void GraphicWizardsLair( void ); //

otsune GWL
FreeBSD, AfterEffects, RETAS, animo, DigitalAnime, Linux, Mac OS, Win2k

[Who is otsune?] [title] [message] [Policy] [注目エントリー] [top]
Twitter Status :


Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい

検索式:

先月 2003年02月 来月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28


2003年02月22日() [長年日記]

「梨を見て林檎じゃないからつまらない」といった手合いにまで真面目に耳を傾けるほど暇ではない/今 敏

#4 [www] Tiki/クロスサイトスクリプティング_

office旋風。
とりあえずWindows IEが、text/plainでもスクリプトっぽい内容だと勝手におせっかい解釈するというクソな実装が紛争根源。過去に.gif拡張子にリンクして、中身はscriptだというfusianasanトラップとかでも使われたし。

4 XOOPS2のXSS脆弱性_:

この手のWebツールを作るときは、最初からXSS脆弱性の事を考えてサニタイズ当然で作らないとなぁ。と、思いました。
そういえばMTのコメントでhtmlタグ許可ができたりもするのですが、XSS脆弱性があっても不思議ではない。まぁライセンスがライセンスなんで探す気力もちょっとアレですが。もう少し広まってから見つかるかも。(XSSでどうなるかを書くとMTに対するFUDになるので書かないけど。Cookieで管理者ログインを記憶しているから、まぁそれが盗まれると……)

4 あとアニメ業界で:

なんちゃらNetとかで動画データや制作管理をWebブラウザからできるって言う業務用ASPが動き出していますが。この辺りのXSS脆弱性に関しては、はっきり言って安心できないだろうなぁ。という想像&予想。
んで確認のため妙なクエリーとか投げると、そのログをみて「規約違反です」「不正アクセス禁止法です」とか開発会社から的外れなクレームが来たりして楽しかったりするんだろうなぁ。
んで、偉い人とかから「君の言っていることは難しくてよく分からない。すぐにセキュリティホールを探すのは辞めろ」とか言われて。
Permalink: http://www.otsune.com/diary/2003/02/22/4.html#200302224
trackback
このエントリーを含むはてなブックマーク del.icio.us livedoor Clip View blog reactions
Last Updated 2003-02-22 00:00:00 By otsune