ここから本文です

<script>alert("xss");</script> これであなたもおしまいです。

fieldnine9さん

2013/7/2203:31:30

<script>alert("xss");</script> これであなたもおしまいです。

閲覧数:
30,429
回答数:
11
お礼:
50枚

違反報告

ベストアンサーに選ばれた回答

プロフィール画像

カテゴリマスター

編集あり2013/7/2212:28:05

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1211064351...

これを開くと全ての質問がオバマになります


[追記]

もう対策きてますよwww

この質問は投票によってベストアンサーに選ばれました!

ベストアンサー以外の回答

1〜5件/10件中

並び替え:回答日時の
新しい順
|古い順

2013/7/2902:53:18

PHPカテ歴代回答数1位。

dsfa34j9kgさん

2013/7/2222:16:21

一部のプログラムに詳しい人たちの間で盛り上がっているようですねw

今現在はすでに対策されていますが、alert"~"自体は"この文字列"をダイアログボックスで表示するだけなので特に問題はありません。

実際にはどういうことなのか試してみたい方は、
ニコニコ動画を見れる「ニコニコあっぷる」というサイトでも同じ症状を確認できます。
http://nicoapple.sub.jp/
検索ボックスに

<script>alert("表示されているかな?");</script>

などのスクリプトをコピペして検索をクリックしてみてください。
ダイアログボックスが表示されるだけですがこういうことです。

くれぐれも悪用しないでくださいねw 文字列表示だけよw

oda90000さん

編集あり2013/7/2220:06:44

古いブラウザ、Javaのバージョンとはまったく関係ありません。
とりあえず、今日あったことを書いておきます。

今日の午前の段階では、右サイドバーに「あなたが最近見たQ&A」が表示されていました。
現在は表示するためのコードが削除されており、表示されておりません。
この「最近見た〜」に表示される内容は、サーバー側で書いているのではなく、クライアント側、つまり、InternetExplorerやChrome、Firefox、Safariのローカルストレージという所に閲覧履歴が貯められており、それを表示するようになってました。
これをサーバー側でやりたくない理由があるのか、面倒くさかったのか、この方法でもちゃんとやれば問題ないと言えば問題ないので、その判断は各自に委ねますが、致命的に駄目だったのは、質問のタイトルの中にHTMLのタグが混じっていても対処していなかったため、質問のタイトルに悪意あるJavaScriptが埋め込めるようになってしまっていたのです。
これにより、他人のセッションを奪ったり、つまり成り済ましなどが可能になるわけです。
本質問や、質問者をいつもオバマ大統領にする、ブラウザ内の文章が崩れ落ちていく、ようないたずらがありましたが、それらは無害であり、ローカルストレージを消去、ローカルストレージの意味が分からないのであれば履歴消去で影響はなくなるものでした。
#ただ、本当に悪意のある人がいたら、今頃カードで何かを買われたとか、現金が引き出されているわけですが、運良く今回は、私も含め、悪意がある人はいなかった、ということです。
http://yhgn.hatenablog.com/entry/2013/07/22/063619

2013/7/2214:29:41

これは脆弱性をついた攻撃みたいなものですかね。
古いブラウザの方は要注意してください。
脆弱性は怖いですね。

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。