まとめ

適当に今までの記事をまとめておきます。

カテゴリ:脆弱性

XSS(クロス・サイト・スクリプティング)
http://hellground.exblog.jp/12588074/

CSRF(クロス・サイト・リクエスト・フォージェリー)

http://hellground.exblog.jp/12485985/
http://hellground.exblog.jp/12518061

クライアント・サイド・スクリプティング
http://hellground.exblog.jp/12418724/
http://hellground.exblog.jp/12428695/
http://hellground.exblog.jp/12771121/

セッションハイジャック
http://hellground.exblog.jp/12731562/

いろんな脆弱性
http://hellground.exblog.jp/12591874/

カテゴリ:いたずら

ブラウザ・クラッシャー

http://hellground.exblog.jp/12436602/

サーチエンジンスパム

http://hellground.exblog.jp/12638619/

カテゴリ:HP作成

HTML・CSS
http://hellground.exblog.jp/12448323/
[PR]

# by r-skull | 2011-01-18 23:33 | 目次

jQuery使ってみたいケド・・

こんばんわ!
昨日キーボードも注文してしまいました(Amazonで
Appleのキーボード(US)、、、めちゃ格好良かったあのデザインは。 うん
明日とどけばいいけど(Д

そしてHPのほうも前よりデザインが固まってきていい感じです!
CSSのデザイン崩れも改善できたし、謎の線が太くなる現象も(言ってなかったけど)
結局HTMLのほうに問題があってさ、あれだけCSS見直した努力はなんだったんだってかんじw

d0210354_23132936.jpg


↑クリックで大きい画像でるよ!

SubMenuから垂れ下がってるのが、前回話したJavaScriptでオプションめニューを
自動で出す奴ね(ω

結局まだTOPページになに表示していいか分からず苦戦中Σ(Д

そぅそぅ、タイトルになってるjQueryってのはJavaScriptでグラフィカルなサイトを作れる
技術?的なやつだと思うw

公式サイトからJavaScriptのソースを取得してきて、それを自分のHPにリンクして
使うんだけど、難しそうだからまだ挑戦してない・・・

はぁ~、、、、俺のサイトはいつ完成するんかね。。。
[PR]

# by r-skull | 2011-01-03 23:22 | 日常

XSS(クロス・サイト・スクリプティング)

お久しぶりです!
今回は脆弱性の話です(ω

Webアプリケーションの脆弱性といったらコレ!
XSS(クロス・サイト・スクリプティング)です!
クロスのスペルはCからですが、CSSだとウェブのデザインする言語とかぶるのでXSSです。
この脆弱性がいちばんやっかいで
数多くあるサイトの中でもいちばん?多いかと思いますΣ(Д

この脆弱性はURLのパラメーターに不正なスクリプトを含ませ
そのURLをターゲットに踏ませることでそのユーザーのPCで任意のスクリプトを
実行できるというものです。

まぁ簡単に説明すると・・・・
こんなサイトがあったとします!(例えばね
d0210354_0384697.jpg

名前を入力し、OKを押します!すると・・・・
d0210354_0392242.jpg


ちょっと切れてますが、URLをみると
?name=R.SkuLL
と入力した名前がパラメーターとなって、この情報がサーバーで解釈されて
ブラウザに表示されるというものです。

なので、このURLでアクセすると誰でも
ようこそ!R.SkuLLさん と表示されます。

↓↓実際にやってみてb
名前入力のやつ

では!今度は入力欄にスクリプトを書いてみましょう!
この方法は、実際に脆弱性がないかチェックするのによく使います(ω)
d0210354_0523114.jpg

これでOKを押しますっと!!
d0210354_05336.jpg


このようにスクリプトのアラートが実行されました。
この時点でXSSの脆弱性確定です!
普通はユーザーが入力した値はそのまま表示してはいけません。
一度<>などのHTMLタグに関係する特殊記号はサニタイズして、意味の無い文字に変換して・・・・
と、すこしめんどうなことをしなければいけないんです。

まぁ、本題に戻ると・・・
これでは自分のPC上でスクリプトを実行してるだけになってしまいます。
どーするかというと!

さっきも説明したURLですよ!
スクリプトの含まれたURLをコピって、どっかの掲示板なんかに貼って
誰かに踏ませれば、その人のPC上でさっきのスクリプトが実行できるというわけです!!

セキュリティ上の問題で、このブログ
そのスクリプト入りのURL貼れなかったΣ(Д;

まぁ、これだとただアラートを実行させただけなんですけどね。

前にDecooとモバスペで説明した
スクリプト・インジェクション(クライアント・サイド・スクリプティング)で、クッキーを盗む!
というものがありました。

あれはXSSとは別で、サイト自体にスクリプトを埋め込み、そのサイトのURLに
アクセスさせることでスクリプトを実行させるというものでした。
今回はURLにより、一時的に生成されたスクリプト入りのサイトを見ることにより
実行させるというものです。

なのでURLのパラメーターに例のクッキーを盗むスクリプトを付け足して
踏ませれば、同じことができるというわけです!

まぁ、XSSの脆弱性があれば!の話ですけどね。

でもスクリプト入りのURLはブラウザ自体が受け付けてくれない場合もあるので
クライアント・サイド・スクリプティングのほうが確実ですね(∀

てか、もうこんな時間Σ(A

じゃぁこれでノシ
[PR]

# by r-skull | 2010-12-28 00:31 | 攻撃・脆弱性

HAPPY NEW ・・・じゃなくて。

ハッピー・バースディ俺!(ω)ノ
はぃ、18歳になってしまいました。

もぅ来年卒業だぁ~Σ(Д
学生寮での生活がはじまるってこん


まぁそれはおいといて
さっきGIMPで書いてみたけど
使い方よくわからね~(´Д`;)

d0210354_22301499.jpg


R.SkuLLはいつも俺が使ってる名前だよ~
もちろん本名のイニシャルがRだかね!
[PR]

# by r-skull | 2010-12-21 22:32 | 日常

アクセスログの付け足しですがなにか?

今日学校から帰ってきて気づいたんだけどさ
明日誕生日だww
12月21日をもちまして18歳になりまーっす(ω`//)

そして昨日は静岡まで釣りをしにいったから疲れた!
アジがいっぱい釣れた!
夜中の3時に起きて兄の車で静岡まで行ったからね(山梨から
ちょーねみぃケド書くかぁ~ブログ(-ω-)

あ、コメントありがとうございます。
下の記事のリンクは同じサーバーですよb

あれはただ ?log= 以降の部分が書き込まれるよに作っただけで
アクセスログとは違いますね(Д

モバスペでもDecooでも説明した攻撃用スクリプトは、 http://localhost/? の部分を
アクセスログのとれるURLに変えてくださいって意味です。

もちろん自分の契約したサーバーじゃないとログ確認できないですよ!
詳しく書いといてアレですが、悪用禁止ってことになってます。。。。

前の記事で無理矢理ログ?残すのに作ったサイトは
http:// ~ /?log=+ の後にリファラーやらクッキーやらつけると(動画でURLの後ろにつけた+~のヤツです)
リンクのサイトにその部分が書き込まれます!見たいなやつですb

アクセスログがあれば、いちいち書き込まれるように無理矢理作らなくても
どんなURLでアクセスされたか記録してくれるので、楽なんですけどね。

まぁリンクの場合は攻撃受けた人も書き込まれたサイト見る可能性あるので
攻撃用のURLにアクセスしたら例のカギの部分だけ書き込ませといて
別のページにリダイレクトさせればいい話なんですけどね(ω

なんか『ね』が多いんですけどね←

今日はこんだけですみませんね←
あと約1時間15分で18歳でーす、、、ね。

まぁみんなコレ見るころには18ですがw


ではさよーーならねぇ~!
[PR]

# by r-skull | 2010-12-20 22:48 | 攻撃・脆弱性