[セキュリティ]UTF-7でXSSを発生させる10の方法 (葉っぱ日記) - a threadless kite - 糸の切れた凧 (2008-01-11)
やまがたさんの、葉っぱ日記への突っ込みです。
スクリプトキディを排除は出来ると思いますがね・・・・
ちなみに、こうやって並べて書くと、防御側は 「+ADw-」 「+ACIAPg...-」 「-script...+AD4-」 を mod_security などで叩き落せば安心か〜♪とか勘違いしてしまう人が居そうですが、例えば、「"><」の代わりに「@_@"><」とされただけで「+AEAAXwBAACIAPgA8-」という全く異なる文字列になってしまいます。
ってことですね。
防御側は、小手先のシグネーチャより、有効な charset を必ず返すように考えたほうが良いかも。
