2010-05 << 2010-06 >> 2010-07

2010-06-14 (月)

*SoftBankの携帯とか

今まで書くの控えてたのですが,検索したらすぐヒットするようになったので,もう周知の事実っぽいしいいか.

SoftBankの携帯の中には,JavaScriptからUser-Agentをいじれる機種があります.ただ,先頭の方はチェックしているようで,SoftBankの端末を名乗らないとゲートウェイに蹴られます.

DNSリバインディングでXSS無いサイトでもjs実行できます.なんとHostヘッダも書き換えられる機種もあるっぽいですね.SoftBankのjsは高機能.

ソースコード検索で,strpos.*DoCoMo.*!==\s*false guid とか検索すると何か出てきました.

User-Agentじゃなくて,User!Agentとかを紛れ込ませても,ヘッダの順番はUser-Agentが必ず最後になるようです.惜しいですね.

という事実を知ったのですが,頭が悪いせいか,どういうことなのかわかりませんでした.

2010-05 << 2010-06 >> 2010-07