トップ «前の日記(2008/01/31(Thu)) 最新 次の日記(2008/02/02(Sat))» 編集

糸の切れた(たこ) ( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。



2008/02/01(Fri) 金曜日ー。(xp_cmdshell は、さすがに...

[セキュリティ] XSS練習問題("XSS Challenges")のFAQ

  • Q1: ランキングの登録メールが届きません。
  • A1: 画面に「A confirmation email has been sent to your address.」という青字のメッセージが出なかった場合は、CAPTCHA の入力(うねうね画像)が間違っていた可能性があります。 青字のメッセージが表示されたのにメールが届かない場合は、メールが迷惑メール(spam)フォルダに入っている可能性があります。(^-^;
    • Q2: クリアしたのにランキングが進みません。
    • A2: ブラウザを閉じた際に、ランキング用のCookieがクリアされてしまった可能性があります。 この場合は、再度、“[XSS Challenges] Registration confirmation”のメールにあるリンクを踏むとCookieがセットされ直します。 その後、一番最新の“[XSS Challenges] Stage #XX”のメールのリンクを踏むと、続きから再開することが出来ます。
      • Q3: 途中でブラウザを変えたんだけど、どうすればランキングに復帰できますか?
      • A3: 上のA2(↑)と同じ方法で復帰できます。
        • Q4: メールアドレスに「+」が含まれていると・・・いきなりハードル高いyo!
        • A4: わははw ごめんなさい、直しました。
          • Q5: ランキングのページも攻撃対象だよね?
          • A5: ちがいます。 ・・・そこの人、攻撃を止めてください!!w
            • Q6: XSS以外もちょっとくらいなら攻撃して良いよね?
            • A6: ぜったいにダメです。 共用のホスティングサーバなので怒られます。
              • Q7: 問題を飛ばす方法を見つけちゃいました。
              • A7: はい、色々と抜けがけする方法はありますが、きよく正しく楽しんでください♪w
                • Q8: 「script:」や「expression」といった文字列を除去とかありえない。 正しくエスケープすれば済む話でしょう? こんな非現実的な問題なんてやってられないよ!
                • A8: 例えば、HTMLメールからスクリプトだけを除去して表示するWebメールとか、あるいは、Webアプリは改修せずにWAFやIDPを置いて攻撃から守ろうとする場合など、ブラックリスト方式での対策を採ろうとすることもまだまだ多いのが現状です。 でも、実はそういう特徴的な文字列を使わずにスクリプトを構成することも出来てしまうんだよ〜!ということを知ってもらうのも目的の1つです。

                  (順次追加します。)