onmouseover=$userdata を舞台にしておいて･･･スペースが使えない（onmouseoverとは別の属性の追加になるから）ことを克服するとか。例えば、var strA='yamagata21' とかを実行させる方法を問うてみる。さらに改行やセミコロンや{}を拒否っておいて、それで…

ちょっとだけズルして全問題の雰囲気だけみてきました。なるほど〜。 ところで、mbstring.substitute_characterの設定はどうなっているんでしょ？＞yamagataさめ→http://yamagata.int21h.jp/d/?date=20080131#p01

今後はヘタをするとウイルス作成者は全員逮捕対象になるのだろうか。へんなものだ。実際に悪用した者のみが犯罪者であるべきはずだ。（感情論かもしれないが） 私がウイルスを作った経緯は次のようなものだった。 当時私が所属していた民間の会社内で、海外…

中越沖地震は人災だって？ 中越沖地震と、その以前にあった中越地震、このふたつの震災が人災ではなかっただろうかという提起がある。 メカニズムはこうだ。中越沖地震と中越地震のそれぞれの震源地を結んだ丁度中央に、わが国のほこる温暖化対策のための施…

新日鉄、鉄鋼スラグでコンブを再生新日本製鉄は製鉄副産物の鉄鋼スラグを活用したコンブの再生事業に乗り出す。鉄鋼スラグなどを海底に設置し、鉄分などの栄養で海藻を育てる仕組み。自治体との実験で効果が得られたため、スラグ製品の有料販売を開始。海藻…

以下は、昨日の文を書いていたときに平行して考えたもののメモです。 Attribute values In attribute values enclosed with double quotes, the double quotes are special because they mark the end of the attribute value. In attribute values enclosed…

Attribute values In attribute values enclosed with double quotes, the double quotes are special because they mark the end of the attribute value. In attribute values enclosed with single quote, the single quotes are special because they ma…

ばけらさんちの掲示板に関連して。「私はアルファでありオメガである」と創造主が言ったと聖書にあるのです。意味はまぁそれなりにあるので各自興味があればお調べ頂きたく。これを、英語では・・・ I am the Α and the Ω. とも書くことが出来ることでしょう…

おくればせながら下記を拝見しました。 UTF-7 XSS Cheat Sheet Specify charset clearly (HTTP header is recommended) Don't place the text attacker can control before <meta> Specify recognizable charset name by browser. 上記のような対策を必要とするサ</meta>…

にもかかわらず対応してくださったIPAに感謝いたします。 それにしても後にも先にもこんなめずらしいXSS脆弱性はもうないと思われます。

IPAに報告していた表題の件、本年になってから修正完了通知がまいりました。 脆弱性関連情報 1) 脆弱性を確認したウェブサイトのURL http://wmlproxy.google.com 2) 脆弱性の種類 クロスサイトスクリプティング 3) 脆弱性の発見に至った経緯 匿名者よりメー…

a要素とかのURIとして、いきなり//ではじめてみるとか。ETC。新年早々ローカルなHTMLでやってみてしばらく頭をひねっちゃいました。アっと思っていろいろXHRでどうよとかしてみたけどたいしたことなし。あはん。 それはそうと手元のOperaではa要素でリンク先…