アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
コメントが少ないのは (スコア:2, おもしろおかしい)
orz
#9で止まりました orz (スコア:2, 参考になる)
とりあえず、#3を越える方法ですが、これ以降はフィールドの値を変える必要があるため、Firebug [mozilla.org]が必須になります (Firefoxユーザーの場合)。Firebugで開いた上で、HTML→Editで適当にソースを変更してhiddenフィールドなどを改造していきましょう。
もちろん、コンソールでalert(document.domain)を打つなどチートは幾らでも出来ますけど、そういうのは無しの方向で。
昔、hiddenパラメーターの中身をいじると管理者権限が取れるヤバいサーブレットを見せられたのを思い出した。当時から既にセキュリティホールが見つけられたと騒いでいたけれどどうなったんだろうか...
Re: (スコア:0)
Re: (スコア:0)
GET受け付けてくれないので
何らかのツール使わないとできないよね?
Re:#9で止まりました orz (スコア:1, 参考になる)
を利用するとか
Re: (スコア:0)
javascript:void(document.forms[0].elements[2].options[0].text='[script]alert(document.domain);[/script]');
みたいに送信パラメタ周りの強制上書きでしょうね。
XSSじゃなくて完全に悪意ある攻撃状態ですが。
# 悪いサイトのお手本を忠実に再現してて笑いました。