> なんかすぐ対策されそうだな(;´Д`)
> 汚染ﾁｪｯｸちゃんとかけろよ

　( )
(;'x')ﾉ XSS対策のさにたいじんぐをbbs.cgiでやるのは確かにいま一番の課題ですね。
　　　　どうしましょう。

参考：2008/09/27(土)04時38分05秒

> > えここが広報室で最大限の罵倒されてる！
> 今回はしょうがないだろう。(;´ω`)面白かったけど

案外大人なんだな(;´Д`)おざなりさんとの会話も含めて

参考：2008/09/27(土)04時36分49秒

ちょっとﾃｽﾄ
iframe

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

おつかれ
眠くならないからミルクたっぷりいれるといいよ

参考：2008/09/27(土)04時36分27秒

> > そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)
> 暗記の人のｺﾒﾝﾄが良かった(;´Д`)

死にたい
とかだっけ(;´Д`)懐かしい話だ

参考：2008/09/27(土)04時36分54秒

> > そんなこと出来ると思ってるんですか!(;´Д`)
> > コードを出してくださいよ!コードを!!!
> > 代わりに言っておいた(;´Д`)
> ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

俺もｿｰｽ見せてっていったけど無視されたぜ(;´Д`)

参考：2008/09/27(土)04時37分56秒

> > だから3で計算させてるんだろ？(;´Д`)
> 最終的に小数第一位で答え出させるから
> する前か後かの違いだな
> 実際には3.14で計算させてるところが殆どだよ

それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

参考：2008/09/27(土)04時36分54秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れさま(;´Д`)

参考：2008/09/27(土)04時36分27秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

なんかすぐ対策されそうだな(;´Д`)
汚染ﾁｪｯｸちゃんとかけろよ

参考：2008/09/27(土)04時36分27秒

> > 4179(;´Д`)
> それは弾かれても文句は言えないんじゃないかな

まるで声優名だと問答無用で初日吊られる人狼のようだ(;´Д`)

参考：2008/09/27(土)04時37分14秒

> > %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)
> そんなこと出来ると思ってるんですか!(;´Д`)
> コードを出してくださいよ!コードを!!!
> 代わりに言っておいた(;´Д`)

ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

参考：2008/09/27(土)04時36分53秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

ありがとうヽ(´ー｀)ノおつかれさま

参考：2008/09/27(土)04時36分27秒

> > ところで何でIPで弾かないの？(;´Д`)
> 次から次へとでてくるかららしいよ(;´Д`)

それだったら何の解決にもなってないのでは？
たまたま今回のスクリプトには対応できただけで、
普通のduke打ち込まれたら同じじゃないかな(;´Д`)

参考：2008/09/27(土)04時34分00秒

> > そんな状況はなかなかないぞ
> 4179(;´Д`)

それは弾かれても文句は言えないんじゃないかな

参考：2008/09/27(土)04時31分16秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

検算のときはな

参考：2008/09/27(土)04時35分06秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

暗記の人のｺﾒﾝﾄが良かった(;´Д`)

参考：2008/09/27(土)04時35分20秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

最終的に小数第一位で答え出させるから
する前か後かの違いだな
実際には3.14で計算させてるところが殆どだよ

参考：2008/09/27(土)04時35分06秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

そんなこと出来ると思ってるんですか!(;´Д`)
コードを出してくださいよ!コードを!!!

代わりに言っておいた(;´Д`)

参考：2008/09/27(土)04時35分30秒

> > だから32945。(;´ω`)
> えここが広報室で最大限の罵倒されてる！

今回はしょうがないだろう。(;´ω`)面白かったけど

参考：2008/09/27(土)04時35分41秒

　( )
(;'x')ﾉ 現状でたぶん効果が上がっていると思います。
　　　　決定的な施策は、
if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
  die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
}
　　　　これでした。
　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
　　　　無能無策でごめんなさい。
　　　　また荒らされたときも助けてください。
　　　　コーヒー飲んでお風呂して寝ます。

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

お役所発想だよな(;´Д`)要綱ありきで
教えてことないことは使っちゃﾀﾞﾒ！みたいな
最近の常用漢字外の表記とかほんとﾊﾞｶかと思う

参考：2008/09/27(土)04時34分30秒

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

えここが広報室で最大限の罵倒されてる！

参考：2008/09/27(土)04時32分12秒

> だいたいわかった(;´Д`)
> cに
>  style={a:expression(eval(document.forms[0].count.value))} %81
> が設定されて
> <INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
> となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
> <INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
> となってstyle中のevalが実行されるんだな
> ﾌｫｰﾑ変数使う前に
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> の例のように\x81とか無効な文字を消すようにしようぜ
> 当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

ああ(;´Д`)ﾏｼﾞ深海無能
http://saboten009.blogspot.com/2008/04/perlhtml-xss.html

参考：2008/09/27(土)04時33分06秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

%81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

参考：2008/09/27(土)04時30分56秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういえば中学受験の時
3.14*1～9まで覚えてたなあ

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

だから3で計算させてるんだろ？(;´Д`)

参考：2008/09/27(土)04時34分30秒

> 0721 1919

√45451919

http://www.google.com/search?q=sqrt(45451919)

参考：2008/09/27(土)04時31分45秒

> ところで何でIPで弾かないの？(;´Д`)

IP変えてくるからでしょ？

参考：2008/09/27(土)04時33分36秒

> > 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> > なんなの深海
> まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

でも深海の面白い一面が垣間見れて楽しかったよ(;´Д`)

参考：2008/09/27(土)04時34分05秒

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

実は3.1だったりする
小数の掛け算は小学校だと、第一の位までが学習指導要綱
3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
実際は3.14と教えてる
計算の時は3もしくは3.1

参考：2008/09/27(土)04時31分43秒

それで荒らしは収まったの？(;´Д`)

つまり深海さんがこの板最大の脆弱性という事だな(;´Д`)

> > Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。
> 香具師て

香具師って人称代名詞には使うけど指示代名詞には使わなかったよねー(;´Д`)

参考：2008/09/27(土)04時33分11秒

> > XSS脆弱性!!!!123
> 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> なんなの深海

まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

参考：2008/09/27(土)04時32分38秒

> ところで何でIPで弾かないの？(;´Д`)

次から次へとでてくるかららしいよ(;´Д`)

参考：2008/09/27(土)04時33分36秒

> ところで何でIPで弾かないの？(;´Д`)

(;´Д`)

参考：2008/09/27(土)04時33分36秒

ところで何でIPで弾かないの？(;´Д`)

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

それ毎回やってんの漏れだけだったし(;´Д`)今回使わなかったし

参考：2008/09/27(土)04時32分12秒

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

こういうこと？
Q.直径10cmの円周を求めよ
A.およそ30cm

参考：2008/09/27(土)04時31分15秒

> > XSS脆弱性!!!!123
> Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

香具師て

参考：2008/09/27(土)04時32分41秒

> > うん。
> 　( )
> (;'x')ﾉ 入れて、みました。
> 　　　　特にエラーなし。
> 　　　　効いているのかな。
> 　　　　効いているといいなあ。

ﾊﾞｯｸｱｯﾌﾟしてるんだろうね(;´Д`)？

参考：2008/09/27(土)04時25分35秒

だいたいわかった(;´Д`)

cに
 style={a:expression(eval(document.forms[0].count.value))} %81
が設定されて
<INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
<INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
となってstyle中のevalが実行されるんだな
ﾌｫｰﾑ変数使う前に
http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
の例のように\x81とか無効な文字を消すようにしようぜ
当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

参考：2008/09/27(土)04時31分24秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
なんなの深海

参考：2008/09/27(土)04時31分24秒

つーか、こんなｵｰﾌﾟﾝに荒らし対策議論したらすぐ対策打ってくるんじゃね？(;´Д`)
ﾔｼにそんな技術あるとは思えないが

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

3.16

参考：2008/09/27(土)04時31分43秒

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

だから32945。(;´ω`)

参考：2008/09/27(土)04時30分42秒

0721 1919

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

いや(;´Д`)３で計算させてるんだろ？

参考：2008/09/27(土)04時31分15秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

XSS脆弱性!!!!123

参考：2008/09/27(土)04時30分56秒

2245

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

4179(;´Д`)

参考：2008/09/27(土)04時30分42秒

> > πを間違えて覚えている馬鹿が居るな
> およそ３！(´ー｀)

3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
3で計算させてると思ってる人が多すぎるよね

参考：2008/09/27(土)04時29分57秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな屑のような投稿は不要。
みんな500とかいうときも！がつくしな(;´Д`)

参考：2008/09/27(土)04時30分25秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

なんだこれすげぇな(;´Д`)

参考：2008/09/27(土)04時29分10秒

> ｲﾀｽﾞﾗしてる子は弾かれろよ(;´Д`)

いや(;´Д`)テストしてるだけだよ

参考：2008/09/27(土)04時28分55秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

参考：2008/09/27(土)04時29分10秒

4179

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

だから出来てるだろがよこのうすらとんかち(;´Д`)ﾊｹﾞﾃﾞﾌﾞ

参考：2008/09/27(土)04時30分25秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな状況はなかなかないぞ

参考：2008/09/27(土)04時30分25秒

ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

ただの小数点第22桁の数字の塊なだけかもわからんよ！？

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

3.1415926535#だよな

参考：2008/09/27(土)04時29分27秒

> > πを間違えて覚えている馬鹿が居るな
> え、円周率だなんて言ってないんだから(;´Д`)

そ、そうだよね(;´Д`)

参考：2008/09/27(土)04時29分53秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

およそ３！(´ー｀)

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

え、円周率だなんて言ってないんだから(;´Д`)

参考：2008/09/27(土)04時29分27秒

4545459

> > 弾かれたいのかな(;´Д`)
> 弾いてみろや(;´Д`)

おい深海(;´Д`)やれよ

参考：2008/09/27(土)04時28分58秒

> しかしよく今まで無事だったなこの板(;´Д`)

ﾈｯﾄの辺境の片隅にある場末の掲示板だからな(;´Д`)

参考：2008/09/27(土)04時27分10秒

> しかしよく今まで無事だったなこの板(;´Д`)

敵を作らないのが一番の対策なんだけどな(;´Д`)
弾きすぎてマジ怒った奴がいたんだろう
根本的な解決じゃないからまた新しい手段で来るんじゃない？

参考：2008/09/27(土)04時27分10秒

> 3.1416298736245876813428

πを間違えて覚えている馬鹿が居るな

参考：2008/09/27(土)04時28分03秒

> > c
> > って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
> > たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
> >  style={a:expression(eval(document.forms[0].count.value))}
> > って入るみたいなんだけど
> <INPUT type="hidden" name="c" value="900">
> 調べたら色設定だな(;´Д`)

http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
%81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

参考：2008/09/27(土)04時27分42秒

> > 68060
> 弾かれたいのかな(;´Д`)

弾いてみろや(;´Д`)

参考：2008/09/27(土)04時28分21秒

ｲﾀｽﾞﾗしてる子は弾かれろよ(;´Д`)

16777216

> 68060

効いてなかったか

参考：2008/09/27(土)04時27分49秒

誰も抜いてはならぬ

> 68060

弾かれたいのかな(;´Д`)

参考：2008/09/27(土)04時27分49秒

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> あとU2も頼む

masoも(;´Д`)

参考：2008/09/27(土)04時27分11秒

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> 500が出てな

漏れもそれが心配だが爆笑という形で落ちるのでそれもいいかもわからんね(;´Д`)とにかく眠いよ

参考：2008/09/27(土)04時26分52秒

3.1416298736245876813428

68060

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> あとU2も頼む

勘弁願います(;´Д`)

参考：2008/09/27(土)04時27分11秒

> c
> って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
> たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
>  style={a:expression(eval(document.forms[0].count.value))}
> って入るみたいなんだけど

<INPUT type="hidden" name="c" value="900">
調べたら色設定だな(;´Д`)

参考：2008/09/27(土)04時25分12秒

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> iframe|getElementだと突破されないかな?
> formsとかsubmitがいいんじゃ

もう弾きﾜｰﾄﾞは配列にしてもっとけばいいんじゃない？

my @ban_strings = qw(iframe getElement submit);

foreach(@ban_strings){
    TPO処理() if($ENV{QUERY_STRING}=~ /$_/);
}

みたいに。荒らしに永久に有効な策なんて無いからな･･･
CAPTHAもいいけど面倒な上にもう破られてるし。

参考：2008/09/27(土)04時24分51秒

> > またi_RCとI_RCを混同してる室長か・・・
> > でもどっちかは怪しい気もする
> どうせMASOでしょ？荒らしてんの(;´Д`)

ｱﾚにそんなSUKIRUがあるとは(;´Д`)

参考：2008/09/27(土)04時26分38秒

65535

> > iframe|getElementだと突破されないかな?
> > formsとかsubmitがいいんじゃ
> 　( )
> ( 'x')ﾉ 併記しておくにょろ。
> 　　　　任せて。

あとU2も頼む

参考：2008/09/27(土)04時26分00秒

しかしよく今まで無事だったなこの板(;´Д`)

> > i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない
> する必要ないだろ(;´Д`)
> 深海を確認したいのかｱﾄﾞﾊﾞｲｽしたいのかどっちよ

とりあえず入っとこうかな
深海のデコイになりそうだし

参考：2008/09/27(土)04時25分46秒

> > iframe|getElementだと突破されないかな?
> > formsとかsubmitがいいんじゃ
> 　( )
> ( 'x')ﾉ 併記しておくにょろ。
> 　　　　任せて。

500が出てな

参考：2008/09/27(土)04時26分00秒

> > |RCに呼んでるﾔｼが荒らしだな(´ー｀)わかった
> またi_RCとI_RCを混同してる室長か・・・
> でもどっちかは怪しい気もする

どうせMASOでしょ？荒らしてんの(;´Д`)

参考：2008/09/27(土)04時22分40秒

> 32768

こいつ弾かれる

参考：2008/09/27(土)04時26分13秒

> > うん。
> 　( )
> (;'x')ﾉ 入れて、みました。
> 　　　　特にエラーなし。
> 　　　　効いているのかな。
> 　　　　効いているといいなあ。

よかったよかった(;´Д`)

参考：2008/09/27(土)04時25分35秒

おまんこ(ﾉД`､)おまんこ

32768

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> iframe|getElementだと突破されないかな?
> formsとかsubmitがいいんじゃ

　( )
( 'x')ﾉ 併記しておくにょろ。
　　　　任せて。

参考：2008/09/27(土)04時24分51秒

> i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない

する必要ないだろ(;´Д`)
深海を確認したいのかｱﾄﾞﾊﾞｲｽしたいのかどっちよ

参考：2008/09/27(土)04時24分28秒

> うん。

　( )
(;'x')ﾉ 入れて、みました。
　　　　特にエラーなし。
　　　　効いているのかな。
　　　　効いているといいなあ。

参考：2008/09/27(土)04時23分15秒

> randomだよ(;´Д`)

あれ書き込めんな(;´Д`)

参考：2008/09/27(土)04時23分59秒

c
って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
 style={a:expression(eval(document.forms[0].count.value))}
って入るみたいなんだけど

これがﾒｲｸﾚｼﾞｪﾝﾄﾞってやつか(;´Д`)

しかし根本的な対策にはなってないのでそこらへん考える必要がありそうですな

んで実際のところ何が効いたの？(;´Д`)言わないほうがいいか？

> > random
> mandamu

manbow

参考：2008/09/27(土)04時24分42秒

> > やっぱり検証してないですが。
> 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。

iframe|getElementだと突破されないかな?
formsとかsubmitがいいんじゃ

参考：2008/09/27(土)04時20分22秒

> random

mandamu

参考：2008/09/27(土)04時24分31秒

random

i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない

> > でかした(;´Д`)貴殿は今日一日ﾃﾞｶい顔していい
> (;´　Д　`)こんな感じで？

水橋さん？(;´Д`)

参考：2008/09/27(土)04時23分34秒

つまんね

> 人が住人が深海の好感度を上げるための自作自演に見事に踊らされているな

高感度はあがっても信頼度は下がってるので問題ないよ(;´Д`)

参考：2008/09/27(土)04時23分17秒

randomだよ(;´Д`)

とりあえずよかったな(;´Д`)

寝る
wikiまとめといてねー

randam

> 漏れの.htaccessが効いたか(;´Д`)

貴殿の.htaccessは誰も入れなくと思うぜ…

参考：2008/09/27(土)04時20分56秒

> > 漏れの.htaccessが効いたか(;´Д`)
> でかした(;´Д`)貴殿は今日一日ﾃﾞｶい顔していい

(;´　Д　`)こんな感じで？

参考：2008/09/27(土)04時22分48秒

よし、寝るか。(;´ω`)

人が住人が深海の好感度を上げるための自作自演に見事に踊らされているな

> > ﾘﾓﾎでない方は
> > !shanghaiです
> > !も#も必須ですチャンネル名の頭に付けてください
> !と#ってなんか違うの？(;´Д`)

!にすると色々違うみたいだけどよく分かりません(;´Д`)匿名でIP漏れにくくなったりする
たまに誰かが-aしてうわー(;´Д`)ってなるけど

参考：2008/09/27(土)04時22分29秒

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> 　( )
> (;'x')ﾉ これをすくりぷとの上の方に入れておけばいいにょろ？

うん。

参考：2008/09/27(土)04時20分58秒

おめ絵描こうぜ(;´Д`)

> なんでこんな単純な荒らしも防げないんだよ(;´Д`)

案外単純なほうが難しかったり(;´Д`)

参考：2008/09/27(土)04時21分47秒

> > ﾘﾓﾎでない方は
> > !shanghaiです
> > !も#も必須ですチャンネル名の頭に付けてください
> !と#ってなんか違うの？(;´Д`)

!だと+aできるんだっけ
もう覚えてないな

参考：2008/09/27(土)04時22分29秒

> 漏れの.htaccessが効いたか(;´Д`)

でかした(;´Д`)貴殿は今日一日ﾃﾞｶい顔していい

参考：2008/09/27(土)04時20分56秒

やるじゃん(;´Д`)すごいぞ

> > なんたらいう固定も消えたし(;´Д`)深海様ばんざーい
> u2よりえここを消して欲しい

深海様(;´Д`)それは言い過ぎです

参考：2008/09/27(土)04時21分59秒

> |RCに呼んでるﾔｼが荒らしだな(´ー｀)わかった

またi_RCとI_RCを混同してる室長か・・・
でもどっちかは怪しい気もする

参考：2008/09/27(土)04時20分18秒

深海SUGEEEEEEEE

おつかれー(;´Д`)

> > なんたらいう固定も消えたし(;´Д`)深海様ばんざーい
> u2よりえここを消して欲しい

何度だって蘇るさ

参考：2008/09/27(土)04時21分59秒

お(;´Д`)消えたな
よかった

> > そっちはリモホでちゃうんじゃ
> ﾘﾓﾎでない方は
> !shanghaiです
> !も#も必須ですチャンネル名の頭に付けてください

!と#ってなんか違うの？(;´Д`)

参考：2008/09/27(土)04時20分52秒

> > TPOになっている物を使っちゃマズいだろう(;´Д`)
> お前よく馬鹿だって言われるだろ(;´Д`)

だってTPOだぜ？
これはいけないと思います(;´Д`)

参考：2008/09/27(土)04時18分04秒

やりおったわい！(;ﾟДﾟ)

> なんたらいう固定も消えたし(;´Д`)深海様ばんざーい

u2よりえここを消して欲しい

参考：2008/09/27(土)04時21分39秒

32945

てす㌧

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> 　( )
> (;'x')ﾉ これをすくりぷとの上の方に入れておけばいいにょろ？

おそらくは(;´Д`)

参考：2008/09/27(土)04時20分58秒

管理人育てゲー(;´Д`)

なんでこんな単純な荒らしも防げないんだよ(;´Д`)

ﾄﾏﾀ

なんたらいう固定も消えたし(;´Д`)深海様ばんざーい

> > 　( )
> > (;'x')ﾉ 行きたいけど、やったことがなくて。
> > 　　　　けいじばんでのやり取りはダメですか？
> > 　　　　もしくは、Limechatで入る方法を教えてください。
> ちょうﾛｰｽｷﾙいやﾉｰｽｷﾙの漏れでも入れたのに(;´Д`)

ﾌﾞﾗｳｻﾞでもI_RC入れるの無かったっけ。それしかないな(;´Д`)

参考：2008/09/27(土)04時20分27秒

おぉ深海やったか(;´Д`)

> > ﾜﾗﾀ
> > PCｻﾎﾟではよくあること
> 見て見りゃ解ると思うけどな(;´Д`)ちなみにshanghaiは止めた方がいいぞ

うむ(;´Д`)ｱﾙﾌｧﾍﾞｯﾄは危険

参考：2008/09/27(土)04時20分32秒

> > やっぱり検証してないですが。
> 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。

　( )
(;'x')ﾉ これをすくりぷとの上の方に入れておけばいいにょろ？

参考：2008/09/27(土)04時20分22秒

漏れの.htaccessが効いたか(;´Д`)

> > limechatを起動したら
> > サーバーの追加
> > i, _rc.tokyo.wide.ad.jp (I_, RCnet),
> > チャンネル
> > #上海
> > で
> そっちはリモホでちゃうんじゃ

ﾘﾓﾎでない方は
!shanghaiです
!も#も必須ですチャンネル名の頭に付けてください

参考：2008/09/27(土)04時19分52秒

おおお(;´Д`)？

荒らしおさまった

> > サポート用件が増えたあああああ<(;´Д`)>
> ﾜﾗﾀ
> PCｻﾎﾟではよくあること

見て見りゃ解ると思うけどな(;´Д`)ちなみにshanghaiは止めた方がいいぞ

参考：2008/09/27(土)04時19分00秒

> > limechatを起動したら
> > サーバーの追加
> > i, _rc.tokyo.wide.ad.jp (I_, RCnet),
> > チャンネル
> > #上海
> > で
> そっちはリモホでちゃうんじゃ

ｸﾈ鯖ﾛｸﾞとの照合は俺に任せとけ

参考：2008/09/27(土)04時19分52秒

> > だと思ってた漏れが正解すぎる
> > 深海さん、とにかくIR_Cこれませんかね？
> > 拉致あかないですよ
> 　( )
> (;'x')ﾉ 行きたいけど、やったことがなくて。
> 　　　　けいじばんでのやり取りはダメですか？
> 　　　　もしくは、Limechatで入る方法を教えてください。

ちょうﾛｰｽｷﾙいやﾉｰｽｷﾙの漏れでも入れたのに(;´Д`)

参考：2008/09/27(土)04時17分33秒

> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/ );
> > }
> やっぱり検証してないですが。

漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。

参考：2008/09/27(土)04時19分21秒

荒らし収まった(;´Д`)か？

|RCに呼んでるﾔｼが荒らしだな(´ー｀)わかった

> > 　( )
> > (;'x')ﾉ 行きたいけど、やったことがなくて。
> > 　　　　けいじばんでのやり取りはダメですか？
> > 　　　　もしくは、Limechatで入る方法を教えてください。
> limechatを起動したら
> サーバーの追加
> i, _rc.tokyo.wide.ad.jp (I_, RCnet),
> チャンネル
> #上海
> で

そっちはリモホでちゃうんじゃ

参考：2008/09/27(土)04時19分26秒

500000(;`Д´)

まだ赤くならない(;´Д`)

> > だと思ってた漏れが正解すぎる
> > 深海さん、とにかくIR_Cこれませんかね？
> > 拉致あかないですよ
> 　( )
> (;'x')ﾉ 行きたいけど、やったことがなくて。
> 　　　　けいじばんでのやり取りはダメですか？
> 　　　　もしくは、Limechatで入る方法を教えてください。

limechatを起動したら
サーバーの追加
i, _rc.tokyo.wide.ad.jp (I_, RCnet),
チャンネル
#上海
で

参考：2008/09/27(土)04時17分33秒

500(;´Д`)無能管理人死ね

> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/ );
> }

やっぱり検証してないですが。

参考：2008/09/27(土)04時19分01秒

そろそろ仕様変更の鶴の一声がきそうな感じだな(;´Д`)