QuickTime XSS Howto

Security 12月 18, 2006
(Last Updated On: 2006年12月18日)

QuickTimeを利用してXSSを行えることはMySpaceのWorm

http://www.f-secure.com/v-descs/js_quickspace_a.shtml

で有名になりました。

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/
はQuickTimeを利用したXSSの手順を解説しています。

XSSのサンプル

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/sample_backdoored.mov

上記のリンクを開くとJavaScriptのダイアログ(Windows XP SP2 + Firefox2.0)が開きます。NoScript拡張等、JavaScriptを無効にしている場合はダイアログは開かない

QuickTIme XSS

QuickTIme XSS

# b2evolutionのHTML解析正規表現に不具合があるようでリンク
# が正しく表示されないので自動リンク(URLだけ書いてリンクにする)
# にしています。イメージを貼り付けた事が原因かな?

投稿者: yohgaki