アカウント名:
パスワード:
>とりあえず、#3を越える方法ですが、
下記で、オフィシャルな(?)回答が公開されたみたいです。DOMを使うらしい。
◆XSS Challenges - Stage #3 の答え http://yamagata.int21h.jp/d/?date=20080204#p01 [int21h.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
コメントが少ないのは (スコア:2, おもしろおかしい)
orz
#9で止まりました orz (スコア:2, 参考になる)
とりあえず、#3を越える方法ですが、これ以降はフィールドの値を変える必要があるため、Firebug [mozilla.org]が必須になります (Firefoxユーザーの場合)。Firebugで開いた上で、HTML→Editで適当にソースを変更してhiddenフィールドなどを改造していきましょう。
もちろん、コンソールでalert(document.domain)を打つなどチートは幾らでも出来ますけど、そういうのは無しの方向で。
昔、hiddenパラメーターの中身をいじると管理者権限が取れるヤバいサーブレットを見せられたのを思い出した。当時から既にセキュリティホールが見つけられたと騒いでいたけれどどうなったんだろうか...
Re:#9で止まりました orz (スコア:0)
下記で、オフィシャルな(?)回答が公開されたみたいです。DOMを使うらしい。
◆XSS Challenges - Stage #3 の答え
http://yamagata.int21h.jp/d/?date=20080204#p01 [int21h.jp]