今日のmhtml
- timelineの投票がCSRFできてたので、ご意見ページみたいなとこから投げて、直してもらった
- 投票時に、セッション追跡用のcookieの値をくっつけてリクエストしないと、拒否するようになっていた
new Ajax.Updater('options', '/portal/vote/934?vote=5', {asynchronous:true, evalScripts:true, parameters:'session_id_validation=hogefuga'});
- しかしこれ、セッションIDそのまんまだ(つまりhogefugaだけで、そのセッションを乗っ取れる)
- 例のmhtmlのやつで読み取って、悪さできちゃうよね?
- 実験: http://pico.ido.nu/ayaya/tl.html
- mhtmlを使われたら防ぎようがないけど、読み取られても被害が最小限になるようにしておくべきだと思います
- 今日の母さん
- http://www.dapper.net/で失敗してたサブドメインサーバー[SE53.CSIDE.JP]<株式会社シーサイドネット>がhttp://blogwatcher.pi.titech.ac.jp/nandemorss/であっさりと取れた
- しかも日付までpubDateにセットしてくれる(2月2日以前が変だけどまあいい)
- 必要ない部分をpipesでガリッと削って完成
- http://www.dapper.net/で失敗してたサブドメインサーバー[SE53.CSIDE.JP]<株式会社シーサイドネット>がhttp://blogwatcher.pi.titech.ac.jp/nandemorss/であっさりと取れた
- (追記)やっぱりmhtmlは反則かも、状況が限られてるし
- プロクシとかを使ってたら、セッションIDがキャッシュされちゃうのがまずいくらい
- 逆にmhtmlをまともなことに利用して、何か作りたいですね