『あとついでに』
アメーバなうではformからtokenを送信しているにもかかわらず、 サーバー側で未チェックだったが故のCSRFでしたが、 いま軽くチェックしてみたところ なんと… このAmebaブログの方も、まったく同じ状態(token未チェック)だったので まったく同じこと ちょっと近いことができます…! って、おばあちゃんが言ってましたよ! なにこれなにこれ どういう意味なの、おしえてえらいひと! (追記) 実際には投稿にいくつかの必須パラメータがあってそのうちuser_id(数字)の指定もあるからそれほど簡単ではなかったかも? ブログ投稿のPOST先: http://blog.ameba.jp/ucs/entry/srventryinsertend0.do 必須パラメータ user_id: 数字 publish_flg: 0 entry_title: 文字 theme_id: 数字 entry_t
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
ぼくはまちちゃん!
はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
