で、実際に荒らしに使われた場所とかﾌｧｲﾙとかはわかったの？(;´Д`)
何日か前から荒らされてたしｸﾞｸﾞﾙさんで捕捉できるかな

http://image.blog.livedoor.jp/take_hilano/imgs/e/0/e0b4275a.JPG

> > 3もしくは3.1で計算するってのはあってるんだ
> > 「円周率は3だと教えてる」ってのが間違いなだけ
> > ちゃんと3.14として教えてる
> > ただそれは概算のはなしで
> > 円の単元だと計算は計算機が推奨されているので、実際は3.14で計算されているのだよ
> > ちなみに今は「場合によっては3で計算しても良い」の項目は削除されてる
> 3.14と教えるのもおかしくなくない？

おかしくなくなくなくｾｲｲｴｰ

参考：2008/09/27(土)04時48分46秒

/.*(iframe|getElement).*/i
これってちがくないか？

> > 現場ではそうかも知れないけど要綱では３で計算しろって指導だったんだろ
> > それはおかしいってことなんじゃないの？
> 3もしくは3.1で計算するってのはあってるんだ
> 「円周率は3だと教えてる」ってのが間違いなだけ
> ちゃんと3.14として教えてる
> ただそれは概算のはなしで
> 円の単元だと計算は計算機が推奨されているので、実際は3.14で計算されているのだよ
> ちなみに今は「場合によっては3で計算しても良い」の項目は削除されてる

3.14と教えるのもおかしくなくない？

参考：2008/09/27(土)04時47分33秒

> > ラーメンのあいつがきた(;´Д`)やばい
> あいつ荒らしだからな(;´Д`)

URAの色が変わってない(;´Д`)わざわざまだ貼ってない新しいのをﾁｮｲｽして来てるのな

参考：2008/09/27(土)04時47分28秒

> document.write('g');document.write('e');document.write('t');とかしたら
> javascriptって動かないの？(;´Д`)

あ、ああ(;´Д`)

参考：2008/09/27(土)04時47分50秒

http://image.blog.livedoor.jp/take_hilano/imgs/9/5/954db025.JPG

document.write('g');document.write('e');document.write('t');とかしたら
javascriptって動かないの？(;´Д`)

あいつが憎い(;´Д`)ラーメン

> > だから変わってないって話だろ(;´Д`)
> > およそ3に憤慨してる奴がおかしいって話
> 現場ではそうかも知れないけど要綱では３で計算しろって指導だったんだろ
> それはおかしいってことなんじゃないの？

3もしくは3.1で計算するってのはあってるんだ
「円周率は3だと教えてる」ってのが間違いなだけ
ちゃんと3.14として教えてる
ただそれは概算のはなしで
円の単元だと計算は計算機が推奨されているので、実際は3.14で計算されているのだよ
ちなみに今は「場合によっては3で計算しても良い」の項目は削除されてる

参考：2008/09/27(土)04時42分20秒

うおおお(;´Д`)足が痺れた

> ラーメンのあいつがきた(;´Д`)やばい

あいつ荒らしだからな(;´Д`)

参考：2008/09/27(土)04時47分03秒

http://image.blog.livedoor.jp/take_hilano/imgs/7/f/7feccddb.JPG

ラーメンのあいつがきた(;´Д`)やばい

さーさ寝るか
その前にあの時言えなかった一言を今こそ言わせてもらうよ(;´Д`)32945

> > さっきも貼ったけど、
> >  $str =~ s/&/&/g;
> >  $str =~ s/</&lt;/g;
> >  $str =~ s/>/&gt;/g;
> >  $str =~ s/\"/&quot;/g;
> >  $str =~ s/\'/&#39;/g;
> > これらをQUERY_STRINGに対して行うとかじゃないのか
> それじゃきかない

効かないね
というかその辺の処理はたぶん既に入ってる
＞比較的新しい攻撃方法に、不完全なマルチバイト文字列を送信することで
＞HTMLに記述されているクォートを無効化する方法があります。この攻撃は
＞HTML エスケープのみでは防げない事に注意が必要です。

参考：2008/09/27(土)04時45分16秒

> > hatocっぽいな(;´Д`)
> 違うけどかすった(;´Д`)あとはﾉｰｺﾒﾝﾄ

(;´Д`)愛してますよ

参考：2008/09/27(土)04時45分40秒

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

perlというかHTTPDの環境変数な(;´Д`)
GETというかｱｸｾｽされたﾌｧｲﾙ名以降がQUERY_STRINGに入っていて
各種ﾌｫｰﾑ内容からPOSTされた物は標準入力から取り出す

参考：2008/09/27(土)04時42分11秒

ぶっちゃけutf8だと思います

http://image.blog.livedoor.jp/take_hilano/imgs/2/c/2c082ff4.JPG

> > 日頃からうざい投稿とかしてるからそれはないな(;´Д`)ないない
> hatocっぽいな(;´Д`)

違うけどかすった(;´Д`)あとはﾉｰｺﾒﾝﾄ

参考：2008/09/27(土)04時44分54秒

> > 　( )
> > (;'x')ﾉ XSS対策のさにたいじんぐをbbs.cgiでやるのは確かにいま一番の課題ですね。
> > 　　　　どうしましょう。
> さっきも貼ったけど、
>  $str =~ s/&/&/g;
>  $str =~ s/</&lt;/g;
>  $str =~ s/>/&gt;/g;
>  $str =~ s/\"/&quot;/g;
>  $str =~ s/\'/&#39;/g;
> これらをQUERY_STRINGに対して行うとかじゃないのか

それじゃきかない

参考：2008/09/27(土)04時44分52秒

> > 貴殿一番愛されるﾀｲﾌﾟだと思う(;´Д`)
> 日頃からうざい投稿とかしてるからそれはないな(;´Д`)ないない

hatocっぽいな(;´Д`)

参考：2008/09/27(土)04時44分40秒

> > なんかすぐ対策されそうだな(;´Д`)
> > 汚染ﾁｪｯｸちゃんとかけろよ
> 　( )
> (;'x')ﾉ XSS対策のさにたいじんぐをbbs.cgiでやるのは確かにいま一番の課題ですね。
> 　　　　どうしましょう。

さっきも貼ったけど、
 $str =~ s/&/&/g;
 $str =~ s/</&lt;/g;
 $str =~ s/>/&gt;/g;
 $str =~ s/\"/&quot;/g;
 $str =~ s/\'/&#39;/g;
これらをQUERY_STRINGに対して行うとかじゃないのか

参考：2008/09/27(土)04時39分04秒

http://image.blog.livedoor.jp/take_hilano/imgs/d/c/dcfef55e.JPG

> > お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど
> 貴殿一番愛されるﾀｲﾌﾟだと思う(;´Д`)

日頃からうざい投稿とかしてるからそれはないな(;´Д`)ないない

参考：2008/09/27(土)04時42分22秒

> > それperl関係ないから(;´Д`)
> よくわかんない(;´Д`)
> この掲示板のcgiの言語はperlだっけ？

Perlはﾗﾘｰｳｫｰﾙさんがｱﾆｵﾀってことしか知りません(;´Д`)

参考：2008/09/27(土)04時43分42秒

http://image.blog.livedoor.jp/take_hilano/imgs/b/2/b2199749.JPG

> > 必要なさそうだ
> ﾊｹﾞの元だから取っておいたほうがいいな


参考：2008/09/27(土)04時43分07秒

> > POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ
> それはPerlの話に限らんのでは(;´Д`)

それはHTTPの話だな(;´Д`)

参考：2008/09/27(土)04時43分05秒

> > POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ
> それperl関係ないから(;´Д`)

よくわかんない(;´Д`)
この掲示板のcgiの言語はperlだっけ？

参考：2008/09/27(土)04時42分39秒

> > お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど
> 修正ｺｰﾄﾞ書いた本人にも挨拶を(;´Д`)ｺｰﾄﾞ投稿した人お疲れ様

yukonさんでいいの？(;´Д`)今回は

参考：2008/09/27(土)04時42分33秒

> > .*って要るのか？
> 必要なさそうだ

ﾊﾞｸﾞの元だから取っておいたほうがいいな

参考：2008/09/27(土)04時42分20秒

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

それはPerlの話に限らんのでは(;´Д`)

参考：2008/09/27(土)04時42分11秒

きっと3

たぶん3

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

俺はAmazonで寄付しても弾かれた事があるのでもう絶対に買わない(;´Д`)

参考：2008/09/27(土)04時41分39秒

> iframeってビームを弾くと言うアレですか？

2000までな

参考：2008/09/27(土)04時41分10秒

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

perlは関係ないから(;´Д`)

参考：2008/09/27(土)04時42分11秒

$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack ( "C", hex ( $1 ) )/eg;	
&jcode'convert ( *value, 'sjis' );

jcode.plって\x81とか妙な文字を残しちゃうの？(;´Д`)

> POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

それperl関係ないから(;´Д`)

参考：2008/09/27(土)04時42分11秒

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

修正ｺｰﾄﾞ書いた本人にも挨拶を(;´Д`)ｺｰﾄﾞ投稿した人お疲れ様

参考：2008/09/27(土)04時41分39秒

> > 　( )
> > (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> > 　　　　決定的な施策は、
> > if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
> >   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> > }
> > 　　　　これでした。
> > 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> > 　　　　無能無策でごめんなさい。
> > 　　　　また荒らされたときも助けてください。
> > 　　　　コーヒー飲んでお風呂して寝ます。
> お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

貴殿一番愛されるﾀｲﾌﾟだと思う(;´Д`)

参考：2008/09/27(土)04時41分39秒

> > 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて
> そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

不必要に血は流さないが必要なら盛大に流すﾀｲﾌﾟってやつか(;´Д`)

参考：2008/09/27(土)04時40分56秒

> .*って要るのか？

必要なさそうだ

参考：2008/09/27(土)04時40分22秒

> > それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん
> だから変わってないって話だろ(;´Д`)
> およそ3に憤慨してる奴がおかしいって話

現場ではそうかも知れないけど要綱では３で計算しろって指導だったんだろ
それはおかしいってことなんじゃないの？

参考：2008/09/27(土)04時41分22秒

今日は久しぶりに携帯から屁をやろうと思ってたけど深海さんがいるからやめたよ(;´Д`)

> > 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて
> そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

篠原本町に住んでいるんだっけか

参考：2008/09/27(土)04時40分56秒

POSTとかGETとかよくわかんない(;´Д`)perlは難しいなぁ

> iframeってビームを弾くと言うアレですか？

アダムスキー粒子がどうこういうアレか

参考：2008/09/27(土)04時41分10秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れ様です(;´Д`)漏れはAmazonさんから寄付するしかできないけど

参考：2008/09/27(土)04時36分27秒

> > 最終的に小数第一位で答え出させるから
> > する前か後かの違いだな
> > 実際には3.14で計算させてるところが殆どだよ
> それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

だから変わってないって話だろ(;´Д`)
およそ3に憤慨してる奴がおかしいって話

参考：2008/09/27(土)04時38分34秒

> おい貴殿らｷﾞｽｷﾞｽﾈﾀがないと生きていけないのか？(;´Д`)すこしはまったりしよう

こんな時間にまったりしたら眠ってしまうよ(;´Д`)

参考：2008/09/27(土)04時40分42秒

iframeってビームを弾くと言うアレですか？

> > 今回はしょうがないだろう。(;´ω`)面白かったけど
> 案外大人なんだな(;´Д`)おざなりさんとの会話も含めて

そりゃああれだ(;´Д`)えここはﾘｱﾙﾔｸｻﾞだから簡単に一般人に手を出さないだけだよ

参考：2008/09/27(土)04時38分54秒

おい貴殿らｷﾞｽｷﾞｽﾈﾀがないと生きていけないのか？(;´Д`)すこしはまったりしよう

> ちょっとﾃｽﾄ
> iframe

そこはpostだから大丈夫なのかな(;´Д`)

参考：2008/09/27(土)04時38分52秒

> ちょっとﾃｽﾄ
> iframe

投稿内容に入っててもしょうがない(;´Д`)ｵﾐﾄﾛﾝかなんか使って環境変数に入れれば弾かれ体験できるかも

参考：2008/09/27(土)04時38分52秒

.*って要るのか？

> > それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん
> (;´Д`)

計算させて切り捨てるとか繰り上げるなら普通じゃん
その前で３にしてるって話だろ

参考：2008/09/27(土)04時39分27秒

http://qwerty.on.arena.ne.jp/cgi-bin/bbs.cgi?iframe
500が出るね(´ー｀)

> ちょっとﾃｽﾄ
> iframe

こうだよ

bbs.cgi?iframe

参考：2008/09/27(土)04時38分52秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れ様でした(;´Д`)
AGのようにﾊﾟﾄﾗﾝﾌﾟ用意して寝てくださいね

参考：2008/09/27(土)04時36分27秒

> > 最終的に小数第一位で答え出させるから
> > する前か後かの違いだな
> > 実際には3.14で計算させてるところが殆どだよ
> それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

(;´Д`)

参考：2008/09/27(土)04時38分34秒

> なんかすぐ対策されそうだな(;´Д`)
> 汚染ﾁｪｯｸちゃんとかけろよ

　( )
(;'x')ﾉ XSS対策のさにたいじんぐをbbs.cgiでやるのは確かにいま一番の課題ですね。
　　　　どうしましょう。

参考：2008/09/27(土)04時38分05秒

> > えここが広報室で最大限の罵倒されてる！
> 今回はしょうがないだろう。(;´ω`)面白かったけど

案外大人なんだな(;´Д`)おざなりさんとの会話も含めて

参考：2008/09/27(土)04時36分49秒

ちょっとﾃｽﾄ
iframe

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

おつかれ
眠くならないからミルクたっぷりいれるといいよ

参考：2008/09/27(土)04時36分27秒

> > そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)
> 暗記の人のｺﾒﾝﾄが良かった(;´Д`)

死にたい
とかだっけ(;´Д`)懐かしい話だ

参考：2008/09/27(土)04時36分54秒

> > そんなこと出来ると思ってるんですか!(;´Д`)
> > コードを出してくださいよ!コードを!!!
> > 代わりに言っておいた(;´Д`)
> ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

俺もｿｰｽ見せてっていったけど無視されたぜ(;´Д`)

参考：2008/09/27(土)04時37分56秒

> > だから3で計算させてるんだろ？(;´Д`)
> 最終的に小数第一位で答え出させるから
> する前か後かの違いだな
> 実際には3.14で計算させてるところが殆どだよ

それは繰り上げとかの話でしょ？(;´Д`)なら前と変わってないじゃん

参考：2008/09/27(土)04時36分54秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

お疲れさま(;´Д`)

参考：2008/09/27(土)04時36分27秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

なんかすぐ対策されそうだな(;´Д`)
汚染ﾁｪｯｸちゃんとかけろよ

参考：2008/09/27(土)04時36分27秒

> > 4179(;´Д`)
> それは弾かれても文句は言えないんじゃないかな

まるで声優名だと問答無用で初日吊られる人狼のようだ(;´Д`)

参考：2008/09/27(土)04時37分14秒

> > %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)
> そんなこと出来ると思ってるんですか!(;´Д`)
> コードを出してくださいよ!コードを!!!
> 代わりに言っておいた(;´Д`)

ｿｰｽくれ(;´Д`)QUERY_STRING解釈してる箇所

参考：2008/09/27(土)04時36分53秒

> 　( )
> (;'x')ﾉ 現状でたぶん効果が上がっていると思います。
> 　　　　決定的な施策は、
> if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
>   die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
> }
> 　　　　これでした。
> 　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
> 　　　　無能無策でごめんなさい。
> 　　　　また荒らされたときも助けてください。
> 　　　　コーヒー飲んでお風呂して寝ます。

ありがとうヽ(´ー｀)ノおつかれさま

参考：2008/09/27(土)04時36分27秒

> > ところで何でIPで弾かないの？(;´Д`)
> 次から次へとでてくるかららしいよ(;´Д`)

それだったら何の解決にもなってないのでは？
たまたま今回のスクリプトには対応できただけで、
普通のduke打ち込まれたら同じじゃないかな(;´Д`)

参考：2008/09/27(土)04時34分00秒

> > そんな状況はなかなかないぞ
> 4179(;´Д`)

それは弾かれても文句は言えないんじゃないかな

参考：2008/09/27(土)04時31分16秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

検算のときはな

参考：2008/09/27(土)04時35分06秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

暗記の人のｺﾒﾝﾄが良かった(;´Д`)

参考：2008/09/27(土)04時35分20秒

> > 実は3.1だったりする
> > 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> > 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> > 実際は3.14と教えてる
> > 計算の時は3もしくは3.1
> だから3で計算させてるんだろ？(;´Д`)

最終的に小数第一位で答え出させるから
する前か後かの違いだな
実際には3.14で計算させてるところが殆どだよ

参考：2008/09/27(土)04時35分06秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> %81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

そんなこと出来ると思ってるんですか!(;´Д`)
コードを出してくださいよ!コードを!!!

代わりに言っておいた(;´Д`)

参考：2008/09/27(土)04時35分30秒

> > だから32945。(;´ω`)
> えここが広報室で最大限の罵倒されてる！

今回はしょうがないだろう。(;´ω`)面白かったけど

参考：2008/09/27(土)04時35分41秒

　( )
(;'x')ﾉ 現状でたぶん効果が上がっていると思います。
　　　　決定的な施策は、
if ( $ENV{'REQUEST_METHOD'} eq 'GET' ) {
  die if ( $ENV{'QUERY_STRING'} =~ /.*(iframe|getElement).*/i );
}
　　　　これでした。
　　　　その他改善点、アドバイス、叱咤激励などありましたら何でもメイルください。
　　　　無能無策でごめんなさい。
　　　　また荒らされたときも助けてください。
　　　　コーヒー飲んでお風呂して寝ます。

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

お役所発想だよな(;´Д`)要綱ありきで
教えてことないことは使っちゃﾀﾞﾒ！みたいな
最近の常用漢字外の表記とかほんとﾊﾞｶかと思う

参考：2008/09/27(土)04時34分30秒

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

えここが広報室で最大限の罵倒されてる！

参考：2008/09/27(土)04時32分12秒

> だいたいわかった(;´Д`)
> cに
>  style={a:expression(eval(document.forms[0].count.value))} %81
> が設定されて
> <INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
> となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
> <INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
> となってstyle中のevalが実行されるんだな
> ﾌｫｰﾑ変数使う前に
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> の例のように\x81とか無効な文字を消すようにしようぜ
> 当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

ああ(;´Д`)ﾏｼﾞ深海無能
http://saboten009.blogspot.com/2008/04/perlhtml-xss.html

参考：2008/09/27(土)04時33分06秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

%81でｸｫｰﾄ外されるのも嫌なので%xxをﾃﾞｺｰﾄﾞ後に無効文字削る処理も入れておいてください(;´Д`)

参考：2008/09/27(土)04時30分56秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういえば中学受験の時
3.14*1～9まで覚えてたなあ

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

そういや円周率が割り切れる事が発見されたって嘘ﾆｭｰｽがあったな(;´Д`)

参考：2008/09/27(土)04時34分30秒

> > いや(;´Д`)３で計算させてるんだろ？
> 実は3.1だったりする
> 小数の掛け算は小学校だと、第一の位までが学習指導要綱
> 3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
> 実際は3.14と教えてる
> 計算の時は3もしくは3.1

だから3で計算させてるんだろ？(;´Д`)

参考：2008/09/27(土)04時34分30秒

> 0721 1919

√45451919

http://www.google.com/search?q=sqrt(45451919)

参考：2008/09/27(土)04時31分45秒

> ところで何でIPで弾かないの？(;´Д`)

IP変えてくるからでしょ？

参考：2008/09/27(土)04時33分36秒

> > 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> > なんなの深海
> まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

でも深海の面白い一面が垣間見れて楽しかったよ(;´Д`)

参考：2008/09/27(土)04時34分05秒

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

実は3.1だったりする
小数の掛け算は小学校だと、第一の位までが学習指導要綱
3.14だけはみ出しちゃっておかしなことになるからどうにかしようというのが経緯
実際は3.14と教えてる
計算の時は3もしくは3.1

参考：2008/09/27(土)04時31分43秒

それで荒らしは収まったの？(;´Д`)

つまり深海さんがこの板最大の脆弱性という事だな(;´Д`)

> > Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。
> 香具師て

香具師って人称代名詞には使うけど指示代名詞には使わなかったよねー(;´Д`)

参考：2008/09/27(土)04時33分11秒

> > XSS脆弱性!!!!123
> 結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
> なんなの深海

まぁ慌てすぎて状況把握及び対処の錯綜が結果対処の遅延に繋がりましたな(;´Д`)

参考：2008/09/27(土)04時32分38秒

> ところで何でIPで弾かないの？(;´Д`)

次から次へとでてくるかららしいよ(;´Д`)

参考：2008/09/27(土)04時33分36秒

> ところで何でIPで弾かないの？(;´Д`)

(;´Д`)

参考：2008/09/27(土)04時33分36秒

ところで何でIPで弾かないの？(;´Д`)

> > そんな状況はなかなかないぞ
> だから32945。(;´ω`)

それ毎回やってんの漏れだけだったし(;´Д`)今回使わなかったし

参考：2008/09/27(土)04時32分12秒

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

こういうこと？
Q.直径10cmの円周を求めよ
A.およそ30cm

参考：2008/09/27(土)04時31分15秒

> > XSS脆弱性!!!!123
> Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

香具師て

参考：2008/09/27(土)04時32分41秒

> > うん。
> 　( )
> (;'x')ﾉ 入れて、みました。
> 　　　　特にエラーなし。
> 　　　　効いているのかな。
> 　　　　効いているといいなあ。

ﾊﾞｯｸｱｯﾌﾟしてるんだろうね(;´Д`)？

参考：2008/09/27(土)04時25分35秒

だいたいわかった(;´Д`)

cに
 style={a:expression(eval(document.forms[0].count.value))} %81
が設定されて
<INPUT type="hidden" name="c" value=" style=a:expression(eval(document.forms[0].count.value))} >
となって余分なﾀﾞﾌﾞﾙｸｫｰﾄが消えて
<INPUT type="hidden" name="c" value= style=a:expression(eval(document.forms[0].count.value))} >
となってstyle中のevalが実行されるんだな
ﾌｫｰﾑ変数使う前に
http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
の例のように\x81とか無効な文字を消すようにしようぜ
当然 < とか > とかそういう記号も消すかｴｽｹｰﾌﾟ

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

Apache わっふるモジュール使えばいいんじゃない？Takesakoの人の香具師。

参考：2008/09/27(土)04時31分24秒

> > つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか
> XSS脆弱性!!!!123

結局ﾒｰﾙしたとおりXSSじゃん(;´Д`)
なんなの深海

参考：2008/09/27(土)04時31分24秒

つーか、こんなｵｰﾌﾟﾝに荒らし対策議論したらすぐ対策打ってくるんじゃね？(;´Д`)
ﾔｼにそんな技術あるとは思えないが

> > 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> > 3で計算させてると思ってる人が多すぎるよね
> いや(;´Д`)３で計算させてるんだろ？

3.16

参考：2008/09/27(土)04時31分43秒

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

だから32945。(;´ω`)

参考：2008/09/27(土)04時30分42秒

0721 1919

> > およそ３！(´ー｀)
> 3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
> 3で計算させてると思ってる人が多すぎるよね

いや(;´Д`)３で計算させてるんだろ？

参考：2008/09/27(土)04時31分15秒

> > http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> > %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> > cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ
> つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

XSS脆弱性!!!!123

参考：2008/09/27(土)04時30分56秒

2245

> > ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ
> そんな状況はなかなかないぞ

4179(;´Д`)

参考：2008/09/27(土)04時30分42秒

> > πを間違えて覚えている馬鹿が居るな
> およそ３！(´ー｀)

3.14ぴったりじゃなくておよそ3なんだよ、という書き方なのに
3で計算させてると思ってる人が多すぎるよね

参考：2008/09/27(土)04時29分57秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな屑のような投稿は不要。
みんな500とかいうときも！がつくしな(;´Д`)

参考：2008/09/27(土)04時30分25秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

なんだこれすげぇな(;´Д`)

参考：2008/09/27(土)04時29分10秒

> ｲﾀｽﾞﾗしてる子は弾かれろよ(;´Д`)

いや(;´Д`)テストしてるだけだよ

参考：2008/09/27(土)04時28分55秒

> > <INPUT type="hidden" name="c" value="900">
> > 調べたら色設定だな(;´Д`)
> http://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/
> %81くっつけてｸｫｰﾄ無効にする手法があるみたいだな(;´Д`)
> cを使う前にSJIS→SJISとか変換かけて無効な文字を消すといいみたいだ

つーか各要素ばらす前にQUERY_STRINGからHTMLﾀｸﾞをｴｽｹｰﾌﾟさせれば済んだ話じゃないか

参考：2008/09/27(土)04時29分10秒

4179

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

だから出来てるだろがよこのうすらとんかち(;´Д`)ﾊｹﾞﾃﾞﾌﾞ

参考：2008/09/27(土)04時30分25秒

> ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

そんな状況はなかなかないぞ

参考：2008/09/27(土)04時30分25秒

ちょっと待て(;´Д`)数字だけの投稿をしたい場合はどうすればいいんだ

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

ただの小数点第22桁の数字の塊なだけかもわからんよ！？

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

3.1415926535#だよな

参考：2008/09/27(土)04時29分27秒

> > πを間違えて覚えている馬鹿が居るな
> え、円周率だなんて言ってないんだから(;´Д`)

そ、そうだよね(;´Д`)

参考：2008/09/27(土)04時29分53秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

およそ３！(´ー｀)

参考：2008/09/27(土)04時29分27秒

> > 3.1416298736245876813428
> πを間違えて覚えている馬鹿が居るな

え、円周率だなんて言ってないんだから(;´Д`)

参考：2008/09/27(土)04時29分27秒

4545459

> > 弾かれたいのかな(;´Д`)
> 弾いてみろや(;´Д`)

おい深海(;´Д`)やれよ

参考：2008/09/27(土)04時28分58秒

> しかしよく今まで無事だったなこの板(;´Д`)

ﾈｯﾄの辺境の片隅にある場末の掲示板だからな(;´Д`)

参考：2008/09/27(土)04時27分10秒

> しかしよく今まで無事だったなこの板(;´Д`)

敵を作らないのが一番の対策なんだけどな(;´Д`)
弾きすぎてマジ怒った奴がいたんだろう
根本的な解決じゃないからまた新しい手段で来るんじゃない？

参考：2008/09/27(土)04時27分10秒

> 3.1416298736245876813428

πを間違えて覚えている馬鹿が居るな

参考：2008/09/27(土)04時28分03秒