Oliver M. Bolzer
olive****@faker*****
2004年 2月 9日 (月) 06:41:55 JST
Oliverです。 http://slashdot.jp/article.pl?sid=04/02/08/1355209 にて告知したXSS脆弱性が悪用されたかチェックするために作った 即席スクリプト。slashdotな鯖はwoodyなので、実際に実行する段階で Ruby 1.6用にArray#all?とArray#findで置き換える必要があっt。 #480000あたりまで手元のDBコピーでチェックし、 それ以降はlive DBでチェック。終了後、このスクリプトだと最初の attributeしかチェックしない事に気がつき、like "%onmouse%" などと してスクリプトが含まれうる不正な属性を手動検索したが、使われて いるケースは発見できなかった。 先週後半から今週末の感想:卒業試験の前哨戦、XSS あー、ストレス発散にどこかのサイトの脆弱性を指摘して、正義を確信した ままタイーホされたい (暴言 いや、マヂで指摘がないと世の中が悪くなると思います。 -- Oliver M. Bolzer GPG (PGP) Fingerprint = 621B 52F6 2AC1 36DB 8761 018F 8786 87AD EF50 D1FF -------------- next part -------------- テキスト形式以外の添付ファイルを保管しました... ファイル名: invalidcommentscan.rb 型: text/x-ruby サイズ: 862 バイト 説明: 無し下载
SRAD