2007/01/03(水)水曜日ー。(もう休み終わりかぁ。)
[セキュリティ] * Hacking with Browser Plugins (Disenchant's Blog)
```textilehttp://[URL]/[FILENAME].pdf#something=javascript:alert(123); ⇒ * Example
```
経由。 Webサーバ上に PDFファイル が置いてあると、URL に「#xss=javascript:スクリプト」を指定することでスクリプトの実行に至るらしい。 # 以降はサーバ側には送られないので サーバ側で痕跡を追うことは出来ないし、大抵の企業なら PDF の 1つや 2つ は公開していそうだ。 やばい!と思うんだけど・・・手元では再現できないや。(^-^;;[追記] その後、Firefox と Opera で再現できました。[1/4追記] bunさん&sonodamさん経由で知りましたが、Acrobat 8 で* 修正済み
のようです。[雑談] 今日のspam
```textilehttp://[URL]/[FILENAME].pdf#something=javascript:alert(123); ⇒ * Example
```
- 金床さん
経由。 Webサーバ上に PDFファイル が置いてあると、URL に「#xss=javascript:スクリプト」を指定することでスクリプトの実行に至るらしい。 # 以降はサーバ側には送られないので サーバ側で痕跡を追うことは出来ないし、大抵の企業なら PDF の 1つや 2つ は公開していそうだ。 やばい!と思うんだけど・・・手元では再現できないや。(^-^;;[追記] その後、Firefox と Opera で再現できました。[1/4追記] bunさん&sonodamさん経由で知りましたが、Acrobat 8 で* 修正済み
のようです。[雑談] 今日のspam
textileあなたは<<あえる★じゃん>>の特別男性会員に任命されました。PF登録をしましてお殿様になりますと、以下の優遇サービスが受けられます。あなたも殿様になって当サイトで帯回しをしよう!・・・お殿様ってw 帯回しって、あーーーれーーーって回るやつですかね?w