葉っぱ日記 - そろそろ UTF-7 について一言いっとくか

2007/07/16 100 users 葉っぱ日記 一言 charset XSS

UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付加されていても、IEが認識できない文字エンコーディング名である場合にはXSSが発生します。例... 続きを読む

スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意

2005/12/21 60 users スラッシュドット XSS脆弱性 ジャパン 注意

jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS（クロスサイトスクリプティング）脆弱性が見つかり、発見者が11月15日にGoog... 続きを読む