- 晴れ
- 1100
- はてダで XSS 出来ていた件の問合せに返答が来て,問題のパーツは無効にしたとの回答.
- さらに,ページ上部に location.hash = location.hash.replace(/<>/g,“) と入った.
- まだ脆弱なブログパーツは幾つかあって
http://d.hatena.ne.jp/t_ashula/#'"onload="alert(2)"などでもいける. - はてダに設置できるScriptはホワイトリスト方式で管理しているようなので,一度すべてのブログパーツを無効にして棚卸しする必要があると思う.
2011/07/04 月