マーカーリンクβ:読み込み中です。お待ち下さい。
このページでは http://anond.hatelabo.jp/20081020064209 をコモンズ・マーカー専用ツールと共に表示しようとしています。
マークの内容は http://commonsmarker.com/page/http://anond.hatelabo.jp/20081020064209 でも参照できます。
http://anond.hatelabo.jp/20081020062655
< Re:Re:Re:Re:Re:Re:Re:Re:Re:エ... | http://anond.hatelabo.jp/20081... >

2008-10-20

http://anond.hatelabo.jp/20081020062655

はい!こんにちは!Hamachiya2だよ。

簡単に言うと、この数十個の文字で変数で囲んということだったのですか??
この数文字の魔法を教えてもらってたらすぐ実践してたんですか・・・。

うん。そうだね。
たったそれだけだよ。
やってみれば、ものすごい簡単なことだよね、これ。

なんでみんな、たった一言「htmlspecialchars()でくくれよ!」って
直接、正解を言ってくれなかったんだろう。一言で済むのにね。

それは、みんな色々な意見があるんだろうけど…
たぶん、
みんなが何かにイラついていて余計に煽るような状態になっちゃっていたり
きみも何かにイラついてしまって、うまく聞けない状態になっていたりしたとか、
なんかそういうことなんじゃないかな。
よくわからないけど。

ちょっと眠いので、あとひとつだけ。
細かいところだけど。

いま http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E を確認してみたら、
たしかに、たぶんだいたい直ってるんだけど、imgの属性シングルクオートとダブルクオート、無駄にふたつでクオートされてるよ。
これは脆弱性とは違うんだけど、せっかくだから直しておいたほうがいいね。 

<img src='xxxxxx' title='"ぺろぺろ"' alt='"ぺろぺろ"' />

↑でてくるhtmlがこうなってる 

<img src='xxxxxx' title='ぺろぺろ' alt='ぺろぺろ' />

↑こうなるようにする

Permalink | トラックバック(1) | 06:41 はてなブックマーク このエントリーのブックマークコメント

トラックバック - http://anond.hatelabo.jp/20081020064209
  • http://anond.hatelabo.jp/20081020041605

    はい! こんにちは! Hamachiya2ですよ! いま、エガミくんの書き込みみながら、 ざくっとソースみてみたよー。 XSSの対策ってね「出力時にエスケープする」っていうのが定石らしいよ。 ...

    • http://anond.hatelabo.jp/20081020045037

      早速お返事有難う御座います!id:hiroyukiegamiです! id:Hamachiya2先生からのまとめ なるほど!前回 $Hamachiya2 = htmlspecialchars($_GET["data"], ENT_QUOTES); //←ここを追加 $params = array('api_key' =&gt; 'フリッ...

      • Re:Re:Re:Re:Re:エガミくんの脆弱性のやつ

        http://anond.hatelabo.jp/20081020050922 id:hiroyukiegamiだよ! 先生から ブラウザから「htmlのソースを表示」ってしてみてくれるかな。 とアドバイスを貰って http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript...

        • http://anond.hatelabo.jp/20081020053019

          はいこんにちは! Hamachiya2だよ。 alertでなくなったね。こんな短時間ですごい。 エガミくん飲み込みはやい感じだね…。 ええと、あとは、下の方の画像で、どうもマーキータ...

          • Re:Re:Re:Re:Re:Re:Re:エガミくんの脆弱性のやつ

            http://anond.hatelabo.jp/20081020054933 id:hiroyukiegamiだよ! id:Hamachiya先生から2つの課題を貰ったよ! 1つめ!! 1つは、タグをエスケープしわすれている箇所がある点 ↑これは勉強になる!実際...

            • http://anond.hatelabo.jp/20081020062655

              はい!こんにちは!Hamachiya2だよ。 簡単に言うと、この数十個の文字で変数で囲んということだったのですか?? この数文字の魔法を教えてもらってたらすぐ実践してたんですか...

            • えがちゃん、あのね。

              えがちゃん、あのね。ちょっとおどろいた。 あっ、でもこれってそれだけXSSの脆弱性って大事って事なんですか?? http://anond.hatelabo.jp/20081020062655 最初っからずっとみんなが言ってる...

        • http://anond.hatelabo.jp/20081020053019

          ちなみに、何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー?? 悪い大人でも悪いことでもないよ。 やろうと思えばもっともっと悪いこともできるのに、alert出す...

      • http://anond.hatelabo.jp/20081020050922

        うーん。 http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E ってすると、JavaScript(alert)が実行されちゃうんだよね。 だったらまず、その実行されちゃった...