| Twitter用人工無脳 | http://twitter.com/ha_ma | 寄付 |
| crochet(凍結中) | http://d.hatena.ne.jp/showyou/20000101 | |
| twitter bot アンケート | http://d.hatena.ne.jp/showyou/20091225/1261712029 |
| << | 2008/10 | >> | ||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
2008-10-24
■XSSってなんですか?おいしいの?
XSSを修正しないという事
http://www.kanasansoft.com/weblab/2008/10/xss.html
指摘してる部分はわからなくもないですが、いろいろ気になるところ多くて変な祭りになりそうなので。
全体的にXSS=Javascriptと捉えられているんですが、別にJavascriptじゃなくても「動的に生成してブラウザ上で実行できる」スクリプトなら何でもできますよね?今はJavascriptしかないとは思いますが。例えば<iframe>+<meta HTTP-EQUIV="Refresh">とかでもXSSできるんじゃ・・ってこれはXSSじゃないかな。
とにかく、XSSの問題って、そこのサイトに対して開発者以外の人がスクリプトを書けて実行できちゃうことが問題だと思います。で、なんでこんなことになってるかというと、一つは何でも容易に適当に出力してるからですよね?hoge.html?q=foo でecho fooとか。ちゃんと考えたシステムなら、
ってことをはっきりさせるんじゃないのかなぁと思います。
私もXSSについて詳しいわけじゃないですし、そもそも例外とかどんどん増えていくと思うので逐次仕様と例外を確認すべきなのかなぁって思います。少なくともhtmlescape関数とか、サニタイズ(笑)とか、その辺の単語一つで終わるものじゃない気がします。
完全に防ぐのはなかなか難しいと思いますので、kanasanがおっしゃられてる通り
今すぐ修正してください。
ということに尽きるかと思います。あと再発させない。
Permalink | コメント(0) | トラックバック(0) | 20:10 
■[python][crochet]import文が不安定要因?
http://twitter.g.hatena.ne.jp/showyou/20081024
Permalink | コメント(0) | トラックバック(0) | 08:38
