謎's キッチン

謎のひとりごと。Amazon欲しい物リストはこちら: https://www.amazon.co.jp/hz/wishlist/ls/CCPOV7C6JTD2

XMLでXSS

XSS

https://bugzilla.mozilla.org/attachment.cgi?id=327530
via https://bugzilla.mozilla.org/show_bug.cgi?id=230214
アップローダ機能を持つWiki掲示板などはアップロードされたファイルで*/xmlや*/xml+*を返さないようにしましょうという話。#まぁXSSだけならもっと短いコードで十分だが…。
もっと簡潔に言えばSVGオワタ\(^o^)/
IE6でもXMLでXSS可能とのことだし、気をつけるべきなのに気にしていない所が多い気がする。

今借りてるpf-xが落ちてるのでアプロダに上げてみた。うん見事。
http://f25.aaa.livedoor.jp/~lion/up/img/046.svg

><

><