トップ «前の日記(2007-09-07) 最新 次の日記(2007-09-30)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-09-13

_ [webappsec] 新手のWebアプリ攻撃手法「XSIO」、XSSと同様の影響

ネーミングが悪いから、こういう勘違いした記事が出てきちゃう。画像に限った話ではないし、そもそもサイトをクロスしてないし。

ユーザがスタイルシート(を含んだタグ)を自由に書き込めるようなサイトの場合、画像などの表示位置をスタイルシートで指定してあげることによって、オリジナルのコンテンツを書き換えたように見せることが可能、というもの。

こんな感じ?IE7だとそれっぽく重なってくれるはず。

<img src="images/month.png" style="position:absolute;right:70px;top:21px">
<input type="text" value="お名前をどうぞ" style="position:absolute;right:0px;top:170px;background-color:white;color:black;">

今は自分でやってるからいいけど、もしコメント欄からこれができて、"日"に書き換えられちゃうと、とっても困ることになる。けど、「XSSと同様の影響」としてしまうのは、ちょっと無理があると思う。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析