Movatterモバイル変換

[0]ホーム

サクサク読めて、
アプリ限定の機能も多数！

アプリで開く

はてなブックマーク

閉じる

暮らし
Atom や RDF を利用したXSS - 葉っぱ日記

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Atom や RDF を利用したXSS - 葉っぱ日記

暮らしカテゴリーの変更を依頼記事元:

hasegawa.hatenablog.com

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

114usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Atom や RDF を利用したXSS - 葉っぱ日記

114 users

hasegawa.hatenablog.com

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント11件

注目コメント
新着コメント

efclIEが認識できないJSONP や Atom/RSS/RDFなどのContent-Typeを吐いてる場合に、HTMLとして扱わせてXSSが起きる

2011/01/06リンク

その他

webmarksjpfeed

2008/07/14リンク

その他

lockcoleIE が認識できない Content-Type: 全般に当てはまる脆弱性の問題。UTF-7で記述した文字列を解釈してスクリプトを実行してしまう。

2007/08/04リンク

その他

nitoyonIEが認識しない Content-type 、かつ、PATH_INFOで値をしていできる、かつ、(CDATA中に)<script> などの文字が含まれていると、JS が実行されてしまう。

2007/08/02リンク

その他

koyhogeIEのcontent-type解釈ミスによるXSS

2007/08/02リンク

その他

miya2000「/search.cgi/a.html?... といったふうに PATH_INFO を付加した場合には、レスポンスが(実質的には)XMLであってもHTMLとして扱われます。」

2007/08/02リンク

その他

kdaibaげっ，痛い話だ

セキュリティ

2007/08/02リンク

その他

myrmecoleon気をつけよう

2007/08/02リンク

その他

hiro_y「Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。」

2007/08/01リンク

その他

TAKESAKO 【攻撃者が自由にスクリプト文字列を挿入でき、なおかつ IE が認識できない Content-Type: を返すWebアプリケーションというと、JSONP や Atom/RSS/RDF 】

2007/08/01リンク

その他

wackyIEの「Content-Type:を無視する」仕様を利用したAtom/RSS/RDFによるXSSの可能性。

2007/08/01リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Atom や RDF を利...」が注目されています。

気持ちをシェアしよう

ツイートする

Atom や RDF を利用したXSS - 葉っぱ日記

Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用して...Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap