[Slashdotjp-dev 37] XSSを悪用したコメントを探すスクリプト

Back to archive index

Oliver M. Bolzer olive****@faker*****
2004年 2月 9日 (月) 06:41:55 JST


Oliverです。

http://slashdot.jp/article.pl?sid=04/02/08/1355209

にて告知したXSS脆弱性が悪用されたかチェックするために作った
即席スクリプト。slashdotな鯖はwoodyなので、実際に実行する段階で
Ruby 1.6用にArray#all?とArray#findで置き換える必要があっt。
#480000あたりまで手元のDBコピーでチェックし、
それ以降はlive DBでチェック。終了後、このスクリプトだと最初の
attributeしかチェックしない事に気がつき、like "%onmouse%" などと
してスクリプトが含まれうる不正な属性を手動検索したが、使われて
いるケースは発見できなかった。

先週後半から今週末の感想:卒業試験の前哨戦、XSS

あー、ストレス発散にどこかのサイトの脆弱性を指摘して、正義を確信した
ままタイーホされたい (暴言

いや、マヂで指摘がないと世の中が悪くなると思います。

-- 

	Oliver M. Bolzer

GPG (PGP) Fingerprint = 621B 52F6 2AC1 36DB 8761  018F 8786 87AD EF50 D1FF
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: invalidcommentscan.rb
型:         text/x-ruby
サイズ:     862 バイト
説明:       無し
Descargar 


Slashdotjp-dev メーリングリストの案内
Back to archive index