2009-07-07から1日間の記事一覧
charset指定を明示しない動的なUTF-16のHTMLでは、 動的に生成した部分に1バイトで文字を表現できるエンコーディングで HTMLのタグと認識できるようなバイト列を注入することでXSSが成立する。例:UTF-16(BE,BOMなし)で生成されるレスポンスが <html><head> <title>ユーザー入</title></head></html>…
charset指定を明示しない動的なUTF-16のHTMLでは、 動的に生成した部分に1バイトで文字を表現できるエンコーディングで HTMLのタグと認識できるようなバイト列を注入することでXSSが成立する。例:UTF-16(BE,BOMなし)で生成されるレスポンスが <html><head> <title>ユーザー入</title></head></html>…
