色んなXSS

2015/4/16(木):ページの一番下に追記を記述しました。

その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。
でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。
そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。
続きを読む 色んなXSS

ファイルアップローダーのファイル名の出力箇所はエスケープしなくても良いか?

確かにWindowsではファイル名に「\、/、:、*、?、”、< 、>、|」といった文字を使うのを禁止しておりこれらの文字列が使えない状況でXSSを引き起こすのはほぼ無理でしょう。
続きを読む ファイルアップローダーのファイル名の出力箇所はエスケープしなくても良いか?