fetus Diary
2008/02/01(金) - 秀逸なXSSの練習サイト
何か役に立つ?これ。
ここでトリッキーに取り上げられているものを実行できるような人はそもそもそんな脆弱性生まないし、そうでない人は突破できないし、そもそもやろうとしないし。
ちなみに、HTML タグを一部でも許すと on* のイベントとかを狙ったのが出てくるので、特定の属性以外は取り除かないといけないのだけど、その時、間違った HTML が書いてあったりなんかするとこれがまた取り除くのが大変なので、そもそも HTML なんてものは許可しないのが一番。そういう点では、「まんま HTML」ではない wiki みたいなので書かせるのが正解。あれなら parse できなかったらエラーにすればいいし、parse できたら安全な HTML にすればいいだけの話。
- 08/02/02 1:25
-
コメント
コメントはありません。