'ashula.info
2011/07/04 月

04 Jul 2011

  • 晴れ
  • 1100
  • はてダで XSS 出来ていた件の問合せに返答が来て,問題のパーツは無効にしたとの回答.
    • さらに,ページ上部に location.hash = location.hash.replace(/<>/g,“) と入った.
    • まだ脆弱なブログパーツは幾つかあって http://d.hatena.ne.jp/t_ashula/#'"onload="alert(2)" などでもいける.
    • はてダに設置できるScriptはホワイトリスト方式で管理しているようなので,一度すべてのブログパーツを無効にして棚卸しする必要があると思う.
back to top

prev post next post



Powered by Hugo, based on the Er theme.
Copyright (C) 2004-2015 t.ashula. Somerights Reserved.