http://d.hatena.ne.jp/ripjyr/20090717/1247832147 もしかして <iframe src="file:///C:/Windows/System32"> とか <iframe src="file:///C:/Program%20Files/Trend%20Micro/Virus%20Buster"> って書いたページを開くだけでブラウザが強制終了させられてしまうなんてことはないんでしょうか?</iframe>

E0 80 A2 → UTF-8では冗長な３バイト表現の '"' → Shift_JIS では '烙｢'

先日のエントリ でドメイン名偽装と見間違えたと書いたJPCERTのページですが、Firefox3.5でアクセスすると、組織名が省略表示になってしまいます。 一定の文字数で強制的に省略しているように見えます。Firefox3の表示とどちらがよかったんでしょう？ 自分で…

charset指定を明示しない動的なUTF-16のHTMLでは、 動的に生成した部分に1バイトで文字を表現できるエンコーディングで HTMLのタグと認識できるようなバイト列を注入することでXSSが成立する。例：UTF-16（BE,BOMなし)で生成されるレスポンスが <html><head> <title>ユーザー入</title></head></html>…

実は怖いBatangフォント

char *filename