2008-05-19 あえてXSS方面でFUDを書いてみる How to defend Apache/CGI against multibyte XSS attacks - Yoshinori TAKESAKO (takesako)snip HTMLをサニタイズ->escapeしてもだめなケース マルチバイト文字をブライザが誤って解釈してXSSになる場合. IE6でshift-jisの文字列をeuc-jpとして表示させると,マッピングのない文字が誤解釈されて"となる これを応用して,以下のvalueのところにその文字列を入れるとスクリプトを入れることができる snip '<>'は表現できないのでinputの下にscriptの閉じタグがなければならない TAKESAKOさんが概略、上のように講演なさっていたとするならば、敵を過小評価しているきらいがあると感じます。mod_waffulにおける対応はどうなるのかについて興味があります。 大人の事情がありますのでFUDを書いてしまいました。。 5/21追記 TAKESAKOさんはけして過少評価をしていないことが判明しました。安心です。よかったぁ。ということは、mod_wafful、おおいに期待ですね。ひとつの強力な解になりそうですから。