> > .*って要るのか？
> 必要なさそうだ

ﾊﾞｸﾞの元だから取っておいたほうがいいな

参考：2008/09/27(土)04時42分20秒

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

それはPerlの話に限らんのでは(;´Д`)

参考：2008/09/27(土)04時42分11秒

きっと3

たぶん3

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

俺はAmazonで寄付しても弾かれた事があるのでもう絶対に買わない(;´Д`)

参考：2008/09/27(土)04時41分39秒

> iframeってビームを弾くと言うアレですか？

2000までな

参考：2008/09/27(土)04時41分10秒

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

perlは関係ないから(;´Д`)

参考：2008/09/27(土)04時42分11秒

$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack ( "C", hex ( $1 ) )/eg;	
&jcode'convert ( *value, 'sjis' );

jcode.plって\x81とか妙な文字を残しちゃうの？(;´Д`)

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

それperl関係ないから(;´Д`)

参考：2008/09/27(土)04時42分11秒

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

修正ｺｰﾄﾞ書いた本人にも挨拶を(;´Д`)ｺｰﾄﾞ投稿した人お疲れ様

参考：2008/09/27(土)04時41分39秒

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

貴殿一番愛されるﾀｲﾌﾟだと思う(;´Д`)

参考：2008/09/27(土)04時41分39秒

> > 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて
> そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

不必要に血は流さないが必要なら盛大に流すﾀｲﾌﾟってやつか(;´Д`)

参考：2008/09/27(土)04時40分56秒

> .*って要るのか？

必要なさそうだ

参考：2008/09/27(土)04時40分22秒

> > それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん
> だから変わってないって話だろ(;´Д`)
> およそ3に憤慨してる奴がおかしいって話

現場ではそうかも知れないけど要綱では３で計算しろって指導だったんだろ
それはおかしいってことなんじゃないの？

参考：2008/09/27(土)04時41分22秒

今日は久しぶりに携帯から屁をやろうと思ってたけど深海さんがいるからやめたよ(;´Д`)

> > 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて
> そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

篠原本町に住んでいるんだっけか

参考：2008/09/27(土)04時40分56秒

POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

> iframeってビームを弾くと言うアレですか？

アダムスキー粒子がどうこういうアレか

参考：2008/09/27(土)04時41分10秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

参考：2008/09/27(土)04時36分27秒

> > 最終的に小数第一位で答え出させるから
> > する前か後かの違いだな
> > 実際には3.14で計算させてるところが殆どだよ
> それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

だから変わってないって話だろ(;´Д`)
およそ3に憤慨してる奴がおかしいって話

参考：2008/09/27(土)04時38分34秒

> おい貴殿らｷﾞｽｷﾞｽﾈﾀがないと生きていけないのか？(;´Д`)すこしはまったりしよう

こんな時間にまったりしたら眠ってしまうよ(;´Д`)

参考：2008/09/27(土)04時40分42秒

iframeってビームを弾くと言うアレですか？

> > 今回はしょうがないだろう。(;´ω`)面白かったけど
> 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて

そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

参考：2008/09/27(土)04時38分54秒

おい貴殿らｷﾞｽｷﾞｽﾈﾀがないと生きていけないのか？(;´Д`)すこしはまったりしよう

> ちょっとﾃｽﾄ
> iframe

そこはpostだから大丈夫なのかな(;´Д`)

参考：2008/09/27(土)04時38分52秒

> ちょっとﾃｽﾄ
> iframe

投稿内容に入っててもしょうがない(;´Д`)ｵﾐﾄﾛﾝかなんか使って環境変数に入れれば弾かれ体験できるかも

参考：2008/09/27(土)04時38分52秒

.*って要るのか？

> > それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん
> (;´Д`)

計算させて切り捨てるとか繰り上げるなら普通じゃん
その前で３にしてるって話だろ

参考：2008/09/27(土)04時39分27秒

http://qwerty.on.arena.ne.jp/cgi-bin/bbs.cgi?iframe
500が出るね(´ー｀)

> ちょっとﾃｽﾄ
> iframe

こうだよ

bbs.cgi?iframe

参考：2008/09/27(土)04時38分52秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れ様でした(;´Д`)
AGのようにﾊﾟﾄﾗﾝﾌﾟ用意して寝てくださいね

参考：2008/09/27(土)04時36分27秒

> > 最終的に小数第一位で答え出させるから
> > する前か後かの違いだな
> > 実際には3.14で計算させてるところが殆どだよ
> それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

(;´Д`)

参考：2008/09/27(土)04時38分34秒

> なんかすぐ対策されそうだな(;´Д`)
> 汚染ﾁｪｯｸちゃんとかけろよ

　( )
(;'x')ﾉ XSS対策のさにたいじんぐをbbs.cgiでやるのは確かにいま一番の課題ですね。
　　　　どうしましょう。

参考：2008/09/27(土)04時38分05秒

> > えここが広報室で最大限の罵倒されてる！
> 今回はしょうがないだろう。(;´ω`)面白かったけど

案外大人なんだな(;´Д`)おざなりさんとの会話も含めて

参考：2008/09/27(土)04時36分49秒

ちょっとﾃｽﾄ
iframe

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

おつかれ
眠くならないからミルクたっぷりいれるといいよ

参考：2008/09/27(土)04時36分27秒

> > そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)
> 暗記の人のｺﾒﾝﾄが良かった(;´Д`)

死にたい
とかだっけ(;´Д`)懐かしい話だ

参考：2008/09/27(土)04時36分54秒

> > そんなこと出来ると思ってるんですか!(;´Д`)
> > コードを出してくださいよ!コードを!!!
> > 代わりに言っておいた(;´Д`)
> ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

俺もｿｰｽ見せてっていったけど無視されたぜ(;´Д`)

参考：2008/09/27(土)04時37分56秒

> > だから3で計算させてるんだろ？(;´Д`)
> 最終的に小数第一位で答え出させるから
> する前か後かの違いだな
> 実際には3.14で計算させてるところが殆どだよ

それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

参考：2008/09/27(土)04時36分54秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れさま(;´Д`)

参考：2008/09/27(土)04時36分27秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

なんかすぐ対策されそうだな(;´Д`)
汚染ﾁｪｯｸちゃんとかけろよ

参考：2008/09/27(土)04時36分27秒

> > 4179(;´Д`)
> それは弾かれても文句は言えないんじゃないかな

まるで声優名だと問答無用で初日吊られる人狼のようだ(;´Д`)

参考：2008/09/27(土)04時37分14秒

> > %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)
> そんなこと出来ると思ってるんですか!(;´Д`)
> コードを出してくださいよ!コードを!!!
> 代わりに言っておいた(;´Д`)

ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

参考：2008/09/27(土)04時36分53秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

ありがとうヽ(´ー｀)ノおつかれさま

参考：2008/09/27(土)04時36分27秒

> > ところで何でIPで弾かないの？(;´Д`)
> 次から次へとでてくるかららしいよ(;´Д`)

それだったら何の解決にもなってないのでは？
たまたま今回のスクリプトには対応できただけで、
普通のduke打ち込まれたら同じじゃないかな(;´Д`)

参考：2008/09/27(土)04時34分00秒

> > そんな状況はなかなかないぞ
> 4179(;´Д`)

それは弾かれても文句は言えないんじゃないかな

参考：2008/09/27(土)04時31分16秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

検算のときはな

参考：2008/09/27(土)04時35分06秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

暗記の人のｺﾒﾝﾄが良かった(;´Д`)

参考：2008/09/27(土)04時35分20秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

最終的に小数第一位で答え出させるから
する前か後かの違いだな
実際には3.14で計算させてるところが殆どだよ

参考：2008/09/27(土)04時35分06秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

そんなこと出来ると思ってるんですか!(;´Д`)
コードを出してくださいよ!コードを!!!

代わりに言っておいた(;´Д`)

参考：2008/09/27(土)04時35分30秒

> > だから32945。(;´ω`)
> えここが広報室で最大限の罵倒されてる！

今回はしょうがないだろう。(;´ω`)面白かったけど

参考：2008/09/27(土)04時35分41秒

　( )
(;'x')ﾉ 現状でたぶん効果が上がっていると思います。
　　　　決定的な施策は、
if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
  die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
}
　　　　これでした。
　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
　　　　無能無策でごめんなさい。
　　　　また荒らされたときも助けてください。
　　　　コーヒー飲んでお風呂して寝ます。

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

お役所発想だよな(;´Д`)要綱ありきで
教えてことないことは使っちゃﾀﾞﾒ！みたいな
最近の常用漢字外の表記とかほんとﾊﾞｶかと思う

参考：2008/09/27(土)04時34分30秒

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

えここが広報室で最大限の罵倒されてる！

参考：2008/09/27(土)04時32分12秒

> だいたいわかった(;´Д`)
> cに
>  style={a:expression(eval(document.forms[0].count.value))} %81
> が設定されて
> <INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
> となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
> <INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
> となってstyle中のevalが実行されるんだな
> ﾌｫｰﾑ変数使う前に
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> の例のように\x81とか無効な文字を消すようにしようぜ
> 当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

ああ(;´Д`)ﾏｼﾞ深海無能
http://saboten009.blogspot.com/2008/04/perlhtml-xss.html

参考：2008/09/27(土)04時33分06秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

%81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

参考：2008/09/27(土)04時30分56秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういえば中学受験の時
3.14*1～9まで覚えてたなあ

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

だから3で計算させてるんだろ？(;´Д`)

参考：2008/09/27(土)04時34分30秒

> 0721 1919

√45451919

http://www.google.com/search?q=sqrt(45451919)

参考：2008/09/27(土)04時31分45秒

> ところで何でIPで弾かないの？(;´Д`)

IP変えてくるからでしょ？

参考：2008/09/27(土)04時33分36秒

> > 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> > なんなの深海
> まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

でも深海の面白い一面が垣間見れて楽しかったよ(;´Д`)

参考：2008/09/27(土)04時34分05秒

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

実は3.1だったりする
小数の掛け算は小学校だと、第一の位までが学習指導要綱
3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
実際は3.14と教えてる
計算の時は3もしくは3.1

参考：2008/09/27(土)04時31分43秒

それで荒らしは収まったの？(;´Д`)

つまり深海さんがこの板最大の脆弱性という事だな(;´Д`)

> > Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。
> 香具師て

香具師って人称代名詞には使うけど指示代名詞には使わなかったよねー(;´Д`)

参考：2008/09/27(土)04時33分11秒

> > XSS脆弱性!!!!123
> 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> なんなの深海

まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

参考：2008/09/27(土)04時32分38秒

> ところで何でIPで弾かないの？(;´Д`)

次から次へとでてくるかららしいよ(;´Д`)

参考：2008/09/27(土)04時33分36秒

> ところで何でIPで弾かないの？(;´Д`)

(;´Д`)

参考：2008/09/27(土)04時33分36秒

ところで何でIPで弾かないの？(;´Д`)

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

それ毎回やってんの漏れだけだったし(;´Д`)今回使わなかったし

参考：2008/09/27(土)04時32分12秒

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

こういうこと？
Q.直径10cmの円周を求めよ
A.およそ30cm

参考：2008/09/27(土)04時31分15秒

> > XSS脆弱性!!!!123
> Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

香具師て

参考：2008/09/27(土)04時32分41秒

> > うん。
> 　( )
> (;'x')ﾉ 入れて、みました。
> 　　　　特にエラーなし。
> 　　　　効いているのかな。
> 　　　　効いているといいなあ。

ﾊﾞｯｸｱｯﾌﾟしてるんだろうね(;´Д`)？

参考：2008/09/27(土)04時25分35秒

だいたいわかった(;´Д`)

cに
 style={a:expression(eval(document.forms[0].count.value))} %81
が設定されて
<INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
<INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
となってstyle中のevalが実行されるんだな
ﾌｫｰﾑ変数使う前に
http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
の例のように\x81とか無効な文字を消すようにしようぜ
当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

参考：2008/09/27(土)04時31分24秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
なんなの深海

参考：2008/09/27(土)04時31分24秒

つーか、こんなｵｰﾌﾟﾝに荒らし対策議論したらすぐ対策打ってくるんじゃね？(;´Д`)
ﾔｼにそんな技術あるとは思えないが

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

3.16

参考：2008/09/27(土)04時31分43秒

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

だから32945。(;´ω`)

参考：2008/09/27(土)04時30分42秒

0721 1919

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

いや(;´Д`)３で計算させてるんだろ？

参考：2008/09/27(土)04時31分15秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

XSS脆弱性!!!!123

参考：2008/09/27(土)04時30分56秒

2245

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

4179(;´Д`)

参考：2008/09/27(土)04時30分42秒

> > πを間違えて覚えている馬鹿が居るな
> およそ３！(´ー｀)

3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
3で計算させてると思ってる人が多すぎるよね

参考：2008/09/27(土)04時29分57秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな屑のような投稿は不要。
みんな500とかいうときも！がつくしな(;´Д`)

参考：2008/09/27(土)04時30分25秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

なんだこれすげぇな(;´Д`)

参考：2008/09/27(土)04時29分10秒

> ｲﾀｽﾞﾗしてる子は弾かれろよ(;´Д`)

いや(;´Д`)テストしてるだけだよ

参考：2008/09/27(土)04時28分55秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

参考：2008/09/27(土)04時29分10秒

4179

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

だから出来てるだろがよこのうすらとんかち(;´Д`)ﾊｹﾞﾃﾞﾌﾞ

参考：2008/09/27(土)04時30分25秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな状況はなかなかないぞ

参考：2008/09/27(土)04時30分25秒

ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

ただの小数点第22桁の数字の塊なだけかもわからんよ！？

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

3.1415926535#だよな

参考：2008/09/27(土)04時29分27秒

> > πを間違えて覚えている馬鹿が居るな
> え、円周率だなんて言ってないんだから(;´Д`)

そ、そうだよね(;´Д`)

参考：2008/09/27(土)04時29分53秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

およそ３！(´ー｀)

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

え、円周率だなんて言ってないんだから(;´Д`)

参考：2008/09/27(土)04時29分27秒

4545459

> > 弾かれたいのかな(;´Д`)
> 弾いてみろや(;´Д`)

おい深海(;´Д`)やれよ

参考：2008/09/27(土)04時28分58秒

> しかしよく今まで無事だったなこの板(;´Д`)

ﾈｯﾄの辺境の片隅にある場末の掲示板だからな(;´Д`)

参考：2008/09/27(土)04時27分10秒

> しかしよく今まで無事だったなこの板(;´Д`)

敵を作らないのが一番の対策なんだけどな(;´Д`)
弾きすぎてマジ怒った奴がいたんだろう
根本的な解決じゃないからまた新しい手段で来るんじゃない？

参考：2008/09/27(土)04時27分10秒

> 3.1416298736245876813428

πを間違えて覚えている馬鹿が居るな

参考：2008/09/27(土)04時28分03秒

> > c
> > って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
> > たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
> >  style={a:expression(eval(document.forms[0].count.value))}
> > って入るみたいなんだけど
> <INPUT type="hidden" name="c" value="900">
> 調べたら色設定だな(;´Д`)

http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
%81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

参考：2008/09/27(土)04時27分42秒

> > 68060
> 弾かれたいのかな(;´Д`)

弾いてみろや(;´Д`)

参考：2008/09/27(土)04時28分21秒

ｲﾀｽﾞﾗしてる子は弾かれろよ(;´Д`)

16777216

> 68060

効いてなかったか

参考：2008/09/27(土)04時27分49秒

誰も抜いてはならぬ

> 68060

弾かれたいのかな(;´Д`)

参考：2008/09/27(土)04時27分49秒

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> あとU2も頼む

masoも(;´Д`)

参考：2008/09/27(土)04時27分11秒

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> 500が出てな

漏れもそれが心配だが爆笑という形で落ちるのでそれもいいかもわからんね(;´Д`)とにかく眠いよ

参考：2008/09/27(土)04時26分52秒

3.1416298736245876813428

68060

> > 　( )
> > ( 'x')ﾉ 併記しておくにょろ。
> > 　　　　任せて。
> あとU2も頼む

勘弁願います(;´Д`)

参考：2008/09/27(土)04時27分11秒

> c
> って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
> たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
>  style={a:expression(eval(document.forms[0].count.value))}
> って入るみたいなんだけど

<INPUT type="hidden" name="c" value="900">
調べたら色設定だな(;´Д`)

参考：2008/09/27(土)04時25分12秒

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> iframe|getElementだと突破されないかな?
> formsとかsubmitがいいんじゃ

もう弾きﾜｰﾄﾞは配列にしてもっとけばいいんじゃない？

my @ban_strings = qw(iframe getElement submit);

foreach(@ban_strings){
    TPO処理() if($ENV{QUERY_STRING}=~ /$_/);
}

みたいに。荒らしに永久に有効な策なんて無いからな･･･
CAPTHAもいいけど面倒な上にもう破られてるし。

参考：2008/09/27(土)04時24分51秒

> > またi_RCとI_RCを混同してる室長か・・・
> > でもどっちかは怪しい気もする
> どうせMASOでしょ？荒らしてんの(;´Д`)

ｱﾚにそんなSUKIRUがあるとは(;´Д`)

参考：2008/09/27(土)04時26分38秒

65535

> > iframe|getElementだと突破されないかな?
> > formsとかsubmitがいいんじゃ
> 　( )
> ( 'x')ﾉ 併記しておくにょろ。
> 　　　　任せて。

あとU2も頼む

参考：2008/09/27(土)04時26分00秒

しかしよく今まで無事だったなこの板(;´Д`)

> > i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない
> する必要ないだろ(;´Д`)
> 深海を確認したいのかｱﾄﾞﾊﾞｲｽしたいのかどっちよ

とりあえず入っとこうかな
深海のデコイになりそうだし

参考：2008/09/27(土)04時25分46秒

> > iframe|getElementだと突破されないかな?
> > formsとかsubmitがいいんじゃ
> 　( )
> ( 'x')ﾉ 併記しておくにょろ。
> 　　　　任せて。

500が出てな

参考：2008/09/27(土)04時26分00秒

> > |RCに呼んでるﾔｼが荒らしだな(´ー｀)わかった
> またi_RCとI_RCを混同してる室長か・・・
> でもどっちかは怪しい気もする

どうせMASOでしょ？荒らしてんの(;´Д`)

参考：2008/09/27(土)04時22分40秒

> 32768

こいつ弾かれる

参考：2008/09/27(土)04時26分13秒

> > うん。
> 　( )
> (;'x')ﾉ 入れて、みました。
> 　　　　特にエラーなし。
> 　　　　効いているのかな。
> 　　　　効いているといいなあ。

よかったよかった(;´Д`)

参考：2008/09/27(土)04時25分35秒

おまんこ(ﾉД`､)おまんこ

32768

> > 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。
> iframe|getElementだと突破されないかな?
> formsとかsubmitがいいんじゃ

　( )
( 'x')ﾉ 併記しておくにょろ。
　　　　任せて。

参考：2008/09/27(土)04時24分51秒

> i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない

する必要ないだろ(;´Д`)
深海を確認したいのかｱﾄﾞﾊﾞｲｽしたいのかどっちよ

参考：2008/09/27(土)04時24分28秒

> うん。

　( )
(;'x')ﾉ 入れて、みました。
　　　　特にエラーなし。
　　　　効いているのかな。
　　　　効いているといいなあ。

参考：2008/09/27(土)04時23分15秒

> randomだよ(;´Д`)

あれ書き込めんな(;´Д`)

参考：2008/09/27(土)04時23分59秒

c
って名前のﾌｫｰﾑ変数ってｿｰｽ中でどういう風に使ってるの？(;´Д`)
たぶんこれの末尾に0x81突っ込まれたのが原因になってHTMLのどこかに
 style={a:expression(eval(document.forms[0].count.value))}
って入るみたいなんだけど

これがﾒｲｸﾚｼﾞｪﾝﾄﾞってやつか(;´Д`)

しかし根本的な対策にはなってないのでそこらへん考える必要がありそうですな

んで実際のところ何が効いたの？(;´Д`)言わないほうがいいか？

> > random
> mandamu

manbow

参考：2008/09/27(土)04時24分42秒

> > やっぱり検証してないですが。
> 漏れもこれが正解だと思うよ。それかIP弾きか数字弾き。

iframe|getElementだと突破されないかな?
formsとかsubmitがいいんじゃ

参考：2008/09/27(土)04時20分22秒

> random

mandamu

参考：2008/09/27(土)04時24分31秒

random

i_rcなりﾁｬｯﾄなりで深海本人だと確認する方法がない

> > でかした(;´Д`)貴殿は今日一日ﾃﾞｶい顔していい
> (;´　Д　`)こんな感じで？

水橋さん？(;´Д`)

参考：2008/09/27(土)04時23分34秒

つまんね

> 人が住人が深海の好感度を上げるための自作自演に見事に踊らされているな

高感度はあがっても信頼度は下がってるので問題ないよ(;´Д`)

参考：2008/09/27(土)04時23分17秒

randomだよ(;´Д`)

とりあえずよかったな(;´Д`)

寝る
wikiまとめといてねー

randam

> 漏れの.htaccessが効いたか(;´Д`)

貴殿の.htaccessは誰も入れなくと思うぜ…

参考：2008/09/27(土)04時20分56秒

> > 漏れの.htaccessが効いたか(;´Д`)
> でかした(;´Д`)貴殿は今日一日ﾃﾞｶい顔していい

(;´　Д　`)こんな感じで？

参考：2008/09/27(土)04時22分48秒

よし、寝るか。(;´ω`)