CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― ＠IT

2006/06/28 176 users 漏えい CSS mixi 上野宣 ゆかり

上野宣 2006/6/29 あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性（CVE-2005-4089）」という、Webブラウザがスタイルシート（CSS）を呼び出す機能に... 続きを読む

なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)

2006/03/31 73 users MSIE 加筆 CSSXSS脆弱性 対策 脅威

_ なぜCSSXSSに抜本的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバー... 続きを読む

Yahoo! Bookmarksは画期的な便利さだ！！！ :: ぼくはまちちゃん！

2006/01/20 50 users Bookmarks Yaho はまち ボク Yahoo

はまちや２さんの日記 Yahoo! Bookmarksは画期的な便利さだ！！！2006/01/20 [16:50] ぼく普段からYahooなんて、せいぜい天気とか、たまにヤフオク見に行ったりするくらいで、 実はあまり知らなかったんだよ。 で、昨日 CSSXSSでYahoo!IDゲット みたいなこと書いたし、 他にどんなサービスがあるのかなぁと思って、ちょっと見にいってみたんだ。 そしたら「Yaho... 続きを読む

CSSXSSでmixiのpost_keyをゲットする例 :: ぼくはまちちゃん

2005/12/05 23 users スペ Amazon サーバ mixi 名前

[2005/12/06 13:00] できなくなった。対応したのかな。 [2005/12/06 18:00] できるじゃん。 なおってないよ＞＜ たとえば、これを使って mixiの名前とかamazonの「ようこそxxxxさん」とかを一緒にサーバに保存して超足あと帳とかどう？ (もしそういう穴があるのなら) やっぱり、かなり怖い気がする！！ [2005/12/07くらい] なおってるよ！ { がすべ... 続きを読む