はてなキーワード: XSSとは
横増田も大歓迎です!貴重なご意見ありがとうございます!
もちろん、CSRFとかXSSとかDos攻撃とか、セキュリティ上最低限の対策は取るつもりですが、それ以外は良いね/悪いねの数で投稿を大きくしたり小さくしたり、ユーザー側で一日限りのidを毎回弾いてもらったりとか、「どっかで見たなそれ」的なことしか考えてません!
なるべく投稿の敷居を下げたいという思いがあるのと、あとは何より、アカウント情報の管理がめんどくさい!のです…
Twitter連携とかも今は簡単にできちゃうんですが、やりません!
とはいえ万が一軌道に乗るなんてことがあれば、アカウント制については考えなきゃいけない時期が来るだろうなとも思ってますー
そんな感じです!
俺、Macbook使ってるんすよ(タッチバー付13インチPro
俺、プログラミングスクールでプログラミング教えるアルバイトしてるんすよ(そいつはそのスクールの卒業生
懇親会で「皆さん嫌いな言語とかフレームワークはありますか?」と話題になると私は即座にRailsと言う。
「あのコマンドを打つと中で何が起きてるか知ってますか?」(知らない
「ActiveRecord?生でクエリ書いたことある?インデックスの意味くらい知ってるよね?」(書いたことない、適当なこと言う
3分後
「alert('XSS')」
百歩譲って学生エンジニアならまあセキュリティに無知なのは分かる。
しかしだな、文系エンジニアは「俺もハッキングしたい(笑)」な勢いで詳しく解説することを要求してくる。非常にウザい。
"
"
しょうがないので優しく解説すると「君ってハッキングとかしてそう(笑)」「君将来ハッカーになりそうだわ(笑)(クラッキング的な意味で)」
死ねよ。
俺、Git使って開発したんすよ(GUIのSourcetree
え?バグ?ちゃんとテストしたんだけどなぁ(完全手動テスト()笑
AWSとGCPは登録はしたものの使い方が分からなくて結局放置
pwdとcdしか知らない(Makefileを作ったことないからいつもネットのコピペコマンド
はい、ゴールデンタイムに鯖落ち。復旧した時にはゴールデンタイム終了のお知らせ。
理由、CDNを刺してない、貧弱なプランの鯖(勿論ロードバランサなんか使ってない)
でも彼らは一応優秀な文系エンジニア。高学歴、サービスも作ったこともある、それなりの実績も持っている。しかし文系だ。
こういう奴らがいるからちゃんとしたエンジニアを軽視される。黙って営業職に転職してこい。
まあでも大学じゃ作者の気持ちしか考えてないのだから当然のなのかもな(笑)
追記
残念な理系名前を書くだけ一発採用派遣SIerは対象としてない。論外だ。
給料が安い?
そんなことは無い。400万以上貰える会社に内定もらっているから嫉妬も不満も特に無い。
だがしかし、ムカつく。
そんな奴が同期にいたら蹴り飛ばしてやりたくなる。
だが見てみろ、あいつらのアプリバックエンドが無いんだぞ?意欲は認める。だがそれで胸を張ってiOSエンジニアなんて無理があるだろ?
http://anond.hatelabo.jp/20160902031012
はてブで批判してる人たちよりよほど志のある学生さんだと思うので、いろいろ書いてみます。おっさんのたわ言ではありますが、元記事の人にすこしでもヒントになればと思って。
まず、日本の大学で勉強しても実用的なソフトウェアが書けるようにはなりません。どういうことかというと、「情報系の大学に行けば○○が作れるようになる!」という世間一般の期待と、実際に大学で教えている内容には大きなギャップがあるということです。
これは大学が悪いのではなく、大学はそもそもそういうものであって、それが世間に認知されてないというだけです。
具体的に挙げてみましょう。
大学で教えてる内容ってこんな感じなので、ゲームやアプリやサービスを作ることが目的の人から見ると、役に立たない内容にしか見えませんし、実際たいして役に立ちません。その証拠に、大学の情報系学科を出ていないのにゲームやiOSアプリやWebサービスを作っている人はゴマンといるし、逆に日本の大学の先生でゲームやiOSアプリやWebサービスを作れる人はほとんどいません。
これは重要なことなのでもう一度書きますが、日本の大学の先生でゲームやアプリやサービスを作れる人はほとんどいません。大学の先生が得意なのは、プログラムを書くことではなく論文を書くことです。論文のためにプログラムを書くことはありますが、あくまでおまけです。
そのため、大学で勉強してもゲームやアプリやサービスが作れるようにはなりません。だって教えている側の先生が、ゲームやアプリやサービスを作ったこともなければ、作り方も知らないんだから。
そういう経験のない人たちばかりですよ、日本の大学の先生って。そんな人たちの授業を受けて、アプリやサービスが作れるようになると思うほうがおかしいでしょう。
ためしに、先生方のTwitterアカウント名でGithubを検索してみてください。いまどきGithubにアカウントがないとか、あったとしてもTestCaseすらないコードとか、そんなものばかりです。「研究内容をライバルに知られるわけにはいかないからGithubは使わない」という言い訳する人がいそう。けど、本当はGitが使えないだけでしょ?
あるいは、先生方の個人ページや研究室の紹介ページを開いて、HTMLソースを見てみてください。doctype宣言がないとか、viewportの指定がないとか、Pタグの中にULタグを使ってるとか、そんなのばかりです。HTMLすらろくに書けない人が、Webアプリを作れると思いますか?きっとXSSもCSRFも知らないですよ。
ですので、そういうことを勉強したいなら、ベンチャーやIT系企業に入るべきです。大学でそういうことを勉強しようとしても、教えられる人がいないから無理。
(「大学はそんなことを教える場所ではない!」と怒る人いると思うけど、教えられる先生がいないという事実をごまかすために怒ってるだけだから。)
とはいっても、大学の先生がプログラムがいっさい書けないというわけではないです。彼らが得意なのは、コンパイラやインタプリタやOSやソルバを作ることです。これらも実用的なソフトウェアと言えなくはありませんが、ゲームやアプリやサービスとはジャンルが大きく違います。
そのため、大学の情報系学科に進めばコンパイラやOSや機械学習ライブラリを書けるようにはなるかもしれませんが、それはゲームやアプリやサービスではないので、繰り返しになりますがそれらを作りたい人には大学は向きません。
じゃあ大学で授業を受けるのってムダなのかというと、必ずしもそうではないです。
大学で教えている内容って、ゲームやiOSアプリやWebサービスが一通り作れるようになってから、その先を目指すときになって初めて必要になることが多いです。たとえば、
こういうときになって、初めて大学で教わった内容が生きてきます。逆にいうと、そういう状況にならないと、大学で教わった内容は生きてこないと言えます。(情報系の学科で学んでいるなら、ライブラリや言語やOSを「使う人」ではなく「作る人」にぜひともなってほしいですね。)
元増田は、社会に役立つ実用的なソフトウェアを作りたいようです。しかし残念なことに、大学が教えている内容はその目的には合致していないことを説明しました。
こういう事情なので、元増田には大学をドロップアウトしてIT系の会社に入社することをお勧めします。ドロップアウトが難しいなら、インターンやバイトでなんとしても入り込むことです。
入るべき会社は、教育に力を入れている会社です。20人未満の小さな会社では教育に力を入れている余裕はないので、小さな会社はやめたほうがいいです。簡単にぐぐってみたところ、はてなやPixivやクックパッドやDeNAやドワンゴは教育制度が確立しているようです(違ってたらごめん)。そういった会社に入ったほうが、大学の授業を受けるよりも、元増田の目的にかなうのは間違いありません。
そして何年か働いて、iOSアプリやWebサービスが一通り作れるようになったら、大学に入り直すことです。これはとても効果的なので、元増田には強くお勧めします。
上で説明したように、大学というところは、ゲームやアプリやサービスの作り方は教えてくれず、それらが作れるようになって初めて役に立つことを教えてくれます。そのため、元増田はIT系の会社に入ってアプリやサービスの作り方を勉強し、それらが作れるようになってから再度大学の門をたたくのが、いちばん効率的です。
なお繰り返しますが、入るべき会社は「教育に力を入れている会社」です。今のIT系企業では、インターン生を「格安で使えるバイト君」としか見なしていない会社が多すぎます。そういう会社は、コストが掛かることはいやがるので、教育もろくにはしてくれません。逆に教育に力を入れている会社では、インターン制度を「将来の戦力を選別する期間」と見なしています。
残念ながら、そういう会社は東京に集中しているようです。例外は京都のはてなくらいでしょうか。地方の大学生にとってはつらい現実なので、はてなやPixivやドワンゴは地方でのインターン開催をお願いします。あとレベル5は九大と九工大の学生を鍛えてあげてください。
余談ですが、学生さんにひとこと:
インターンやバイトで潜り込む先の会社を選ぶときは、就活と同じような時間をかけて選んでください。バイトだからとかインターンだからという軽い気持ちで会社を選ぶ大学生が多いから、それを食い物にしている悪質経営者があとを立ちません。インターン生が「格安の学生バイト」として使われている現状を是正するために、学生のほうでも注意してください。
ドロップアウトを進めた手前、書こうと思ったけど、長すぎるのでやめた。
リツイートが100超えたら書く。
JavaScript で UI を構築していると XSS がうんたらかんたらみたいな能書きをきちんと理解してきちんとやっていくのが一番よいというのはそうなのですが、 2016 年にもなってそんなことの学習に時間がしがし使うのもおかしい気がする。おかしい気がしないというそこのあなたは CPU や Flash ストレージから自作して現代風のシステム全部作っといてください。
生 PHP だけでなにかを作る人間はもうたぶんいないですし、 JavaScript での UI 構築ももうそういうものだと思っていいのではないでしょうか。 React か Angular かなんか使っとけばいいと思います。 React おすすめ。これらの現代っぽいフレームワークを使っている限り XSS のような初歩的なミスはほぼ起きません。 React の場合危険な機能には Dangerously Set innerHTML というヤバそうな名前がついていて便利です。
http://anond.hatelabo.jp/20150312042513
いい加減なことを言って,はてサからちょっとあしらわれただけで火だるまになった id:kanose が?
id:kanose が村長と呼ばれるようになったのは,並み居るはてなの論客がはてな内でのキャッキャウフフに興味がなかったからだよ。そういうネットでのコミュニケーションに興味ある界隈で位置取りが上手だったのは間違いないが,それだけのこと。政治でも IT 技術でもなんでもいいが専門的な界隈で id:kanose の影響力なんて皆無。だれが村長って呼びだしたのかは知らないが,その中身は空っぽでしかない。
そもそもはてなに人が集まったのは,商業的な匂いがあまりしない雰囲気で90年代のネットで育った人たちが馴染みやすかったこと。それからはてなダイアリーって名前からも分かるように,SNS どころか Web 2.0 もブログって言葉も一般的でなかった頃にユーザー同士のコミュニケーションに重きを置いたサービスを展開したこと。そういうネットでのコミュニケーションに注目した id:kanose には先見の明があったと思う。ただそれは村長って呼ばれるような実態じゃない。
ある意味村長って名称は秀逸で,いつの間にか一部ユーザーで村って意識が芽生えてその側面で語られるようになった。でもそれって現実を反映したものじゃない。たんに他人からそう見てほしい自分たちを描いたへたくそな物語の再生産を続けてるだけ。
いい例がはてな村奇譚。はてなで XSS といえば誰をおいてもまずひろみちゅなのは常識だけど(はてなキーワードにもそう書いてある),出てきたのははまちちゃん。そりゃあ id:orangestar にひろみちゅは扱えないよな。当然はてサもなし。はてなを語る上で id:Apeman は本来外せないはずだけど。我が世の春を謳歌していた fromdusktildawn が一夜にして凋落していく様は,はてな史に残るドラマだったのに。そういえば801ちゃんがガキくさいワガママ言って,はてなフェミに一発で黙らされたこともありました。
で本題は id:otsune 。今どきの人は知らないと思うけど,以前は自分でブログをやってて技術的な話題を取り扱ってた。技術レベルは正直それほど高くなかったけど,話題の拾い方が上手だったのと(これは今も健在か)自分なりに真摯に取り組んでる姿勢がよくてけっこうな人気ブログだった。それがウォチャーとしての旨味を知って手軽なことばかりやるようになって,あげく今回の騒動。
新卒で入社したA社は、親会社B社のシステムの内製と、B社の顧客層向けのパッケージソフトウェアを制作販売するソフトウェアハウスだった。
入社1年目の自分は、いくつかの細かい業務を平行して担当することになったが、その中にホームページの管理があった。主な業務は、ページの文章の更新と確認、誤字脱字の修正、古く間違ったHTMLの修正など。
会社のホームページには自社のサービスや製品だけを扱う小さなショッピングシステムがあり、ユーザ登録・ログイン・購入・履歴確認など一通りの機能を持っていた。このシステムを改修したり更新したりする予定はなかったが、せっかく担当となったわけだし、以前から興味のあったWebアプリケーションのセキュリティを勉強しようと、徳丸本を購入した。(当時は紙の本しかなかった)
http://tatsu-zine.com/books/sbcr-taiketekinimanabu
この本は説明不要の名著で、平易な文章で細かく正確な記述がなされている。Webアプリケーション制作に携わる新人プログラマは必読だ。
頭から読み進める。1章に用語の整理があるおかげでだいぶ理解しやすい。2章の実習環境の用意は、都合がつかず読み飛ばした。3章は流し読みし、いよいよ4章。様々な脆弱性を個別にとり挙げ、原因と対策について具体的な説明がされており、非常に興味深い。
なるほど、XSS(クロスサイト・スクリプティング)という言葉は知っていたが、具体的にこういうものなのだな。入力ボックスに入力した内容が遷移後のページに表示されるというUIはよくあるから、気をつけなければ……そういえば、会社のホームページにも検索機能があって、「検索ワード:○○」と表示されるところがあったな。あれもXSS対策がされているはずだ。どれ、見てみよう。テスト用サーバで画面を表示して、<script>alert(1)</script>(本当は半角)と入力……
検索ワード: +----------------+ | | | 1 | | [ OK ] | +----------------+
なるほどこれがXSSか。実習環境の用意はしなかったが、実物を拝むことができたぞ。脆弱性の修正の実習もできるな。
このようにして、徳丸本を読み進め、(テスト用サーバで)攻撃を実践しながら、脆弱性を直していった。覚えている限りでは、以下の実習ができた:
ショッピングシステムの中身が、フレームワークやライブラリなし・SQL発行共通関数なし・オブジェクト指向なし・数万行の巨大ファイル1つであることを知ったのは、脆弱性の修正にとりかかってからだった。その他のシステムもすべてこのショッピングシステムを参考に作られているらしく、プレースホルダもエスケープもない文字列組み立てSQL発行があらゆる場所に散乱していた。とても直し甲斐があるシステムであった。
これらのシステムは、日付zip以上のバージョン管理が行われていなかったため、該当部分を誰が書いたのかはわからなかった。そんな状況であったので、大量に報告された脆弱性の始末書は、すべて現在の担当である自分が書くことになった。
自分が入社するより前からあった、誰が作ったのかもわからない脆弱性を、探し修正し始末書を書いた。「私が担当になる前からあった脆弱性なので、原因はわかりません。おそらく不勉強が原因です。対策は、勉強会とコードレビューとバージョン管理です。」などと書いた。今思えば、"よい始末書"の書き方を勉強する機会を逃していたのかもしれない。
自分の作業はすべてgitで記録していたので、自分が担当になったときにはすでに脆弱性があったと主張したが、「自分だけバージョン管理などという便利なものを使っていてずるい」と怒られて終わった。(なお、それよりも前に社内でのバージョン管理ツールの使用は提言していたし、それが「よくわからないから」と却下されてからは、自分だけで使う許可は得ていた。)この経験から、バージョン管理をしていない、もしくはクソみたいな管理しかしていない組織内で、自分だけでも上手く管理する方法についての知見を得た。
こうして、徳丸本の内容を実践しながら学習できたので、セキュリティ分野についての興味はより高まり、知識も増え、A社に対する信頼はほとんど失われたので、さらに勉強し、3年目に入るころには情報セキュリティスペシャリスト試験に合格し、転職した。
Webサービスのセキュリティを勉強したいと思ったならば、徳丸本を読んで、実践しながら勉強することを強く推奨する。紙の本には実験用環境のCDもついているので、A社でホームページを担当していなくても、実践しながら勉強することが可能だ。(電子版の場合はどうなのだろうか。申し訳ないが各自確認していただきたい。)
仕事の一環としてwebサイトの脆弱性を探してる人達はたいていは所属している組織がその行為の正当性を保証してくれているから上記のような問題はほとんど起こりえない。問題は趣味の一環として脆弱性を探しているホワイトハッカーだ。
ちなみに上の記事のブクマに度々登場する「Office」とは10年前に逮捕されてしまった人のこと。
詳細は以下のページによくまとまっている。
http://www.itmedia.co.jp/news/topics/accs.html
この人が逮捕されてしまった決定的にまずかった点は、脆弱性の発見の過程で得られたとあるサイトに蓄積されていた個人情報を、あろうことかカンファレンスで公衆の面前に向けて公開しちゃったところ。擁護のしようがない。
自分では善意と思っていても、それが相手からどう見えるかどうかは別問題である。客観的な証拠が無ければ善意かどうかは証明できない。それをわかっていない安易なホワイトハッカーが多すぎるように感じる。
ネット上でホワイトハッカーとして有名ならば仮に逮捕されても世論が味方してくれるなどという甘い考えも蔓延している。確かにネット世論は味方するかもしれんがそれは法廷内では何も意味をなさない。客観的な状況証拠以外に善意を証明する術なんて無いんですよ。だから安易にホワイトハッカー気取るのは危険なんだ。
これ以外にホワイトハッカーが身を守る術は無い。これを怠っておいて面倒なことに巻き込まれて「俺はインターネットを良くしようと思ってやってるのに!」とぷんすか怒っても駄目。特にIPAへの報告はできるだけ早くやる。サイト管理者よりも先に報告する。これ鉄則。
とある自称ホワイトハッカーが熱弁していた自衛手段の一つに、ブラウザのUserAgentに「僕はあなたの味方だよ!」という意味の文言を入れておけば大丈夫というものがある。ジョークで言っているんだろうと思ったがどうやら本気だった模様。こういう馬鹿な人は逮捕されても仕方がない。
ホワイトハッカーに必要なのは技術力だけじゃない。自分は無害だ、むしろサイト管理者の味方なんだという客観的な事実を積み重ねる高度な政治的立ち回りが必要なんだよ。
確かにホワイトハッカー自体は世の中に間違いなく必要だ。でも、世間は無条件に諸手を上げてホワイトハッカーを歓迎しているわけじゃない。本当にホワイトなのかどうか見極める作業が必要なんだ。だからこそ、ホワイトハッカー側には高度な政治的立ち回りが必要となる。誰しもが客観的にその状況を見てホワイト認定してくれるようにログを積み重ねなければならない。以上。
ちなみに問題となってるベネッセのサイトに気になるお知らせが。これが上記の件なのかどうかはわからないが一応紹介。
http://blog.benesse.ne.jp/info/corp/2013/09/post-4.html
「書き換えた」とあるので、上記の人とは違うとは思うが。どうなんだろう。もし書き換えたとすればそれはホワイトどころかグレーどころかブラックなんじゃないだろうか。別件であると信じたい。
発想がおもしろい。
意図しない行動をさせるトリガーが部屋に混入されていたのがXSSに該当するのね。
攻撃者に権限を悪用されて本人の意図しない処理を実行させられてたとしたら、XSRF攻撃もあったのだろうね。
人間に脆弱性があるのは確かで、悪意のある加害者によって自身の不利益になることをさせられてる人は世の中に多く居るよね。
現実に混入されてるのは、ブラウザにとってのスクリプトのように、人の行動に影響を与えうる情報なのだろうと思う。
本人に意識されない形でそれを行うのは高度な技術だと思うけど、なくはない。
本人の意思に反する行動をさせるのは、特殊な状況が必要だけど不可能ではないだろう。
「お前、なんでこんなことしたんだ。会社に恨みでもあったのか?」
……ええ、そりゃありましたよ。
派遣先の現場じゃあチームリーダーの社員は威張り放題、自分達の仕事まで構わず押し付けてさっさと帰りやがる。『高い金を払ってお前らをここに座らせてんだぞ』とか罵倒されますけど、俺達の給料なんてあいつらの給料に較べれば話にもなりませんでしたよ。アゴで使われたい放題だ。
「それであんなことしたのか」
オープンにTwitterで会話してるように見せてる会長に伝えてだってみたんですけどね。無視ですよ。都合の悪いことは。
だからやったんです。後悔? してませんよ。するわけないでしょう。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
恨み? いや別にありませんでしたけどね。待遇はまあ良かったし、給料だって悪くはなかったですよ。残業もないし仕事はラクだったしね。飽きたから辞めることにしたんですけど、あんまり無防備な会社だったんで何でもできそうで、ついね。面白そうだったんで。
「それであんなことしたのか」
ええ。当日の騒ぎはしっかり見てましたよ。超面白かったですね。
ただ誰にも自慢できなかったのが残念だけどさー。なんでバレたんすかね? バレるんだったらやんなきゃよかったな。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
元々体が弱くてね、休みがちだったんですよ。それでも有給休暇の日数のうちだったんですけど、派遣会社のマネージャーからひどく文句を言われましてね。遠回しに退職を要求されるようで。それで、せいぜい派遣元に迷惑かけてやろうと思ったんです。
「それであんなことしたのか」
ええ。後悔? してませんね。あの会社もこれで切られるでしょ。ざまあ見ろだ。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
恨み? いえ、恨みじゃないですね。待遇は良かったです。働きやすい職場でした。
なんでかって、ある日ですけどね、オペレータ、自分達が使ってる端末にひどいセキュリティホールを見付けちゃったんですよ。悪用されりゃ世界中のどこからだって侵入可能なようになってた。XSSってご存知ですか? ネットで悪質なリンクをオペレータに踏ませれば何でもできるな状態で……ああ、お分かりにならない? ええまあ、危険な状態だったんです。
それで上司に、派遣元のチームリーダーに言ったんですけどね、叱責されたんです。そんなことはお前の仕事じゃないと。握りつぶされました。
「それであんなことしたのか」
そうですね。一度どうにかして分からせないと、と思って。回線が繋がらないくらい、顧客情報がなんでも持っていかれることに較べれば大したことじゃないでしょ? これで分かってくれるならね。後悔? してませんね。技術者として正しいことをしたと思ってます。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
……………。
「何とか言え! なにか思うことがあってやったんだろう!」
……。
……………。
「おい、答えろ! おい!」
(大規模な障害は携帯キャリアそのものに対するイメージを悪くする。あの会社も裏では酷いことしてやがるよな。
捕まっても動機を何も言わなければ、マスコミでもネット上の素人でもが好き放題に推測して書き立ててくれる。恨みを持たれるような会社、愉快犯に簡単に破壊活動を受ける脇の甘い会社、質の悪い派遣社員を使っている会社、なんでもありだ。否定しなきゃ勝手に全部の可能性を考える分、余計にイメージが悪くなって、依頼元が利益を受ける。
あとは日が経ってマスコミが忘れた頃、裁判の上で業務上過失にしちまえるように動機と手順を並べれば、俺もさっさと解放されるだろ。やれやれ、ま、悪くない商売だな。)
893 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:16 ID:1JmUtdSc
・東日本が削除人の作業時のログを見つける。http://be.2ch.net/test/sss/hoop.dat
・これは誰がいつ削除したかがわかる程度だが、/test/sss/以下の全ファイルリストがApache設定ミスで閲覧できた。
・しかもbe鯖のsss/以下にはなぜかcgiが拡張子なしで置かれてた。つまりソースが見れる。ファイル名からして2005年から放置。
・それを見つけたモペキチは元の現在動いてるcgiスクリプトを探し出し、それに対してソースを元にコマンド実行。
・そのcgiも糞で、パスワードなしで2chの全キャップが入手でき、他にもパスなしで板移転やファイル一覧取得も可能だった。
・いろんな人がそれを実行した。板移転もやりたい放題、キャップも全部ばれたのでお止めも自由。
・しかもファイル一覧取得にもバグがあり、そこからOSのコマンドを叩くことも可能。全部のcgiソースを入手可能。
・つまりcgiの権限であればウイルス設置からファイル削除も可能。最悪この前のbeみたいに鯖が真っ白になりかけた。
・もちろんこのバグは全鯖共通で持ってるので過去の鯖でも実行可能。どこまでやられたかは不明。
151 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:18:51 ID:XUdh8QWJ0 2BP(1029)
2ちゃんが終われば ●は使えなくなるぜw
152 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:20:38 ID:i/2sgrer0
897 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:17 ID:1JmUtdSc
まとめ2/2
・FOX ★「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧するにはbbs.cgiから全部書き換えることが決定。とりあえず明日以降作り直すことを決めて運営陣解散
結果的にやられたことは
・勝手に板移転。板移転のメッセージを変え放題だったのでそこにグルーポンへ飛ばすコードやらXSSやらウイルスとか突っ込まれた。
・キャップが漏れまくりなので書き込みし放題。現在はキャップは全部停止。
・cgiリストが見れた上キャップパスも出たので削除や芋ほり(ログ開示)もし放題。これも現在読み書き以外のcgi全部停止。
・全鯖に削除や何かするプログラムを置かれた可能性もありうる。導入する時間は十分あったが、入ってないことを祈るだけ。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。ただ訴える気ゼロなのでほぼ間違いなく逮捕なし。
見てきました
http://anond.hatelabo.jp/20110106232404
http://anond.hatelabo.jp/20110106231708
どっかの動画投稿サイトの動画ソースをそのまま利用して、コメントつけられるようにしたニコニコの3番煎じぐらいのひまわり動画って知ってる人いる?
なんだかIDつくってログインできるらしいんだけど、そのなんだ…
IDとパスワードが平文でCookieに保存されているの気づいてたか?
でも、パスワード忘れたときのためにってパスワードリマインドの機能があるんだが…
http://himado.in/?mode=forgetname
こえー、マジこえー。
まぁ、いいんだけど。
え?他のサイトと同じにしてる?
いやいや、そんなに信用しちゃっていいの?
XSSやCSRFで漏えいとか以前に、自分のIDとパスワードを他のサイトで入力されてるかもしれないぞ!
こえー、マジこえー。
なにが言いたいかというと