Q&A
下記の徳丸氏の記事にある「IEのコンテンツ種類判別はContent-Typeとマジックバイトの組み合わせ」のところにマジックバイトとContent-Typeの組み合わせ表があり、実際にクリックして試すことができます。
私のWindows7、IE11の環境で試したところ、Content-Type が image/bmp の縦列の4つはXSSが発生しました。
他は発生しませんでした。
自分でも同じようにXSSが発生するように再現したいです。
XSSが発生した bmp02.bmp や jpeg02.bmp などの画像を拝借して、<a href="bmp02.bmp">bmp02.bmp</a>のようにリンクを貼ってクリックしてみましたが、XSSは発生しません。
どのようにやると上述したサイトのようにXSSを発生させられるのでしょうか?
ご存じの方いれば、教えてください((_ _ (´ω` )ペコ
回答1件
0
ベストアンサー
MSのセキュリティ情報によれば、影響を受けるソフトウェアに「WinXP SP2 + IE6」「Win2000 SP4 + IE6」「WinVista + IE7」があります。
試しに Win7 + IE11 で開発者ツールのエミュレーション機能で IE5 までダウングレードしましたが、bmp 以外では現象を再現できませんでした。
いくらエミュレーション機能でもセキュリティ上の脆弱性まではエミュレーションしないのでしょう。
従って、XSSを再現する為には** [セキュリティ更新プログラム (939653)] をインストールしていない「WinXP SP2 + IE6」「Win2000 SP4 + IE6」「WinVista + IE7」**のいずれかを用意する必要があると思われます。
Re: 7968 さん
投稿2017/04/19 11:01
総合スコア18162
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/04/19 11:10
2017/04/19 11:26 編集
2017/04/19 12:24 編集