タグ

関連タグで絞り込む (8)

タグの絞り込みを解除

cssxssに関するfubaのブックマーク (7)

  • ■ - hoshikuzu | star_dust の書斎

    ■InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その2) 20060429追記: 4月度更新を行った後のIEに存在するCSSXSS脆弱性をついた実証コードが4/28以後に某所で公開されています。 追記終わり 4月度のセキュリティ更新プログラムを適用しても、いわゆるCSSXSS脆弱性はFIXされていないことを確認いたしました。 最近まで流通してた各種CSSXSS脆弱性の各種実証コードは、4月度のセキュリティ更新プログラムの適用後、無効になっているようです。JavaScriptcssTextをハンドリングすると外部サイトのスタイルシートならば「アクセスが拒否されました」というエラーになるからです。いっけん一安心のように感じられます。 しかし現時点では、Microsoft社としては、いわゆるCSSXSS脆弱性(CVE-2005-408

    ■ - hoshikuzu | star_dust の書斎
    fuba
    fuba 2006/04/15
    直ってねー
    リンク

  • CSSXSS対策された模様 | 水無月ばけらのえび日記

    更新: 2006年4月14日 日のパッチによって、いわゆる CSSXSS の対策がなされたようです。同一ドメイン上の CSS の内容は読めますが、他ドメインの CSS に対して cssText プロパティを参照しようとすると、「アクセスが拒否されました」と言われて失敗します。 これにより、他ドメインの任意のコンテンツにアクセスできてしまうといったことはなくなったはずです。端的に言うと、Firefox と同様になったということですね。 ※2006-04-14追記 : 一応の対策はなされたものの、完全に FIX したわけではなく、依然としてアクセスする方法があるようです。参考 : InternetExplorerのいわゆるCSSXSS脆弱性と4月度のセキュリティ更新プログラムについて(その2) (d.hatena.ne.jp) ※ちなみに Firefox の場合は DOM2-style (w

    fuba
    fuba 2006/04/12
    やったー
    リンク

  • 引き続き CSSXSS をご利用下さい - rna fragments

    http://i.hatena.ne.jp/idea/7917 無言で却下とあいなりました。ついに対処されたのかと思ったら相変わらずでした。 そんなわけで、 他人の日記に書き込みたい方 他人のプライベートモードの日記を読みたい方 は、引き続き CSSXSS を使った攻撃サイトを作成してターゲットとなるはてなユーザにリンクを踏ませて下さい。そんなことされると困るという方は、以下のどれかで対応しましょう。 日記更新の時以外はログアウトする。ログイン中はリンクを踏まない。 IE の JavaScript をオフにする。 当分の間 IE を使わない。 はまちちゃんがゼロデイやるとすぐ対応するのにね。結局気で攻撃されるまで対処しないってこと? トラックバック: http://d.hatena.ne.jp/dangerous1192/20060206 idトラックバック: http://d.hate

    引き続き CSSXSS をご利用下さい - rna fragments

  • はてなアイデア

    はてなアイデア サービス終了のお知らせ 平素より「はてなアイデア」をご利用いただき、ありがとうございます。 要望窓口サービス「はてなアイデア」は2013年7月31日(水)をもちまして終了いたしました。8年にわたる試験運用にご協力いただき、ありがとうございました。 これまでご利用いただきましたユーザーの皆さまに深く感謝いたします。 誠にありがとうございました。 詳しくは下記をご覧ください。 http://hatena.g.hatena.ne.jp/hatenaidea/20130731/1375250394

  • ■ - hoshikuzu | star_dust の書斎

    ■続報:IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ【さらに】参りましたね。 2006/02/02追記 以前書いた下記にてJavaScript切っておけば大丈夫では?と希望的観測を書きましたが、それだけでは危険だという予測もあります。ActiveX control を併せてオフにするべきです。詳しくは、http://d.hatena.ne.jp/hoshikuzu/20051204/ で。 追記終わり 12/9追記:【重要】です。cleemyさんによる検証で凄いことがわかりました。UNICODE系列とANSI系列とのアレにちょい似ていたりする感想を持ちました。引用させて頂きます。 cleemy 多分 { がキモっぽいですね。{ が全く無いテキストは読み出せませんでした。 あと、少なくともローカルにおいた

    ■ - hoshikuzu | star_dust の書斎
    fuba
    fuba 2005/12/11
    "攻撃用HTMLがUTF-8で記述されてて @import先がShift_JISの場合は、 { が全く無いテキストでも、「ボ」や「マ」などの 7B, 7D を含む文字があれば読み出せてしまいました" ますますグロい
    リンク

  • はてな足あと帳 :: ぼくはまちちゃん!

    (関連サイト) CSSXSSでmixiのpost_keyをゲットする例 :: ぼくはまちちゃん! http://hamachiya.com/junk/get_postkey.html Google Desktopユーザーもあぶない--IEの脆弱性で情報漏出のおそれ - CNET Japan http://japan.cnet.com/news/sec/story/0,2000050480,20092120,00.htm

  • CSSXSSでmixiのpost_keyをゲットする例 :: ぼくはまちちゃん!

    [2005/12/06 13:00] できなくなった。対応したのかな。 [2005/12/06 18:00] できるじゃん。 なおってないよ>< たとえば、これを使って mixiの名前とかamazonの「ようこそxxxxさん」とかを一緒にサーバに保存して超足あと帳とかどう? (もしそういう穴があるのなら) やっぱり、かなり怖い気がする!! [2005/12/07くらい] なおってるよ! { がすべて { に変換されてでてくるようになった!

    fuba
    fuba 2005/12/07
    今日本で一番黒いハッカーのはまちや2さんによるCSSXSSデモ。あからさまにまずい
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.