以上、hasegawayosukeさんにインスパイアされて詰めXSSを作ってみました。もうひとつ別ねたもありますので、現在磨いております。連続するアルファベットは全部禁止というネタです。禁止する記号としては「=」「"」「'」「+」「-」「.（=ドット）」などでし…

以下の断片が含まれるHTMLを吐き出すウェブアプリがあったとします。 <script type="text/javascript" > $userdata </script>において、$userdataには以下のフィルターがかかっています。text/htmlでcharsetがiso-8859-1の世界で考えてください。 数字オッケー 英小文字オッケー 英大文字オッケー スペ…

記号だけでJavaScriptを実行するというid:hasegawayosukeさんの最近の素晴らしいアイデアにはほとほと感服しました。文字列を拾ってブラックリストにのっていればこれを拒否するタイプのフィルターは無意味であると高らかに宣言しているからです。

たとえば以下のように、script要素の中に第三者の記述(=$userdata)が埋め込まれるとします。 <script type="text/javascript" > $userdata </script>防衛観点からみれば、こんなことが可能なようでは、まず駄目というのが定説です。まぁそれでもなんらかのフィルターがあればまだましだろう、という考…