アカウント名:
パスワード:
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
XSSは、ユーザーの入力した値をサーバーがきちんとエスケープしないでHTML内へ埋め込むことが原因となり、JavaScriptが実行されてしまう等の脆弱性です。当該ページが開かれたとき、攻撃者の用意した悪意のあるJavaScriptが自動的に実行されたり、ページ内容が改竄されるようなことがあっては困るわけですから。
しかしながら「悪意のあるJavaScript」は、サーバーにとっては単なる文字列にすぎません(ユーザー名だったり、コメントだったり)。したがってXSS自体は、サーバー側に内部エラーを発生させるような類のものではないのです。
この一連の流れを見て
件の人:XSSが修正されたかどうかを確認するために、自動的にアラートを埋め込むようなスクリプトを実行する。↓ベネッセの中の人:アラートの埋め込まれたデータを発見し、問題だ!と埋め込まれたデータ自体を削除する。
の繰り返しをベネッセの中の人が徹夜で行っていたという妄想が浮かんだ。
タコなアクセス解析ソフト使ってると中の人の所でもアラート発生の可能性がw#XSSにも永続性(不揮発性?)のがあるんだけど、なんでそうじゃない前提なんだろう?と思う。
ああ、それで、「社内アクセス専用の管理サイトが汚染されている!スーパーハッカーの攻撃だ!!」ってなっちゃったのですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
内部で異常がおこっていたかも (スコア:0)
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
Re: (スコア:0)
XSSは、ユーザーの入力した値をサーバーがきちんとエスケープしないでHTML内へ埋め込むことが原因となり、JavaScriptが実行されてしまう等の脆弱性です。
当該ページが開かれたとき、攻撃者の用意した悪意のあるJavaScriptが自動的に実行されたり、ページ内容が改竄されるようなことがあっては困るわけですから。
しかしながら「悪意のあるJavaScript」は、サーバーにとっては単なる文字列にすぎません(ユーザー名だったり、コメントだったり)。
したがってXSS自体は、サーバー側に内部エラーを発生させるような類のものではないのです。
Re:内部で異常がおこっていたかも (スコア:0)
この一連の流れを見て
件の人:XSSが修正されたかどうかを確認するために、自動的にアラートを埋め込むようなスクリプトを実行する。
↓
ベネッセの中の人:アラートの埋め込まれたデータを発見し、問題だ!と埋め込まれたデータ自体を削除する。
の繰り返しをベネッセの中の人が徹夜で行っていたという妄想が浮かんだ。
Re:内部で異常がおこっていたかも (スコア:1)
タコなアクセス解析ソフト使ってると中の人の所でもアラート発生の可能性がw
#XSSにも永続性(不揮発性?)のがあるんだけど、なんでそうじゃない前提なんだろう?と思う。
Re: (スコア:0)
ああ、それで、
「社内アクセス専用の管理サイトが汚染されている!スーパーハッカーの攻撃だ!!」ってなっちゃったのですね