> > 試すぐらいなら大丈夫だと思うんだけどな(;´Д`)実際怖いよ
> > 下手に公開したりすると捕まりそうだけど
> ショップサイトでURL変数に1ページあたりのアイテム数が格納されていたから
> 数百アイテムがヒットする条件と1ページあたり0.00001件って感じで
> URL変数加工してアクセスしたら、ページ送りのためのリンクが死ぬほど
> 出力された後でサーバが沈黙したよ(;´Д`)捕まっちゃうかな

http://toolbar.netcraft.com/site_report?url=http://kakaku.com

まだMS鯖あるな

参考：2005/05/26(木)02時42分49秒

> > 試すぐらいなら大丈夫だと思うんだけどな(;´Д`)実際怖いよ
> > 下手に公開したりすると捕まりそうだけど
> ショップサイトでURL変数に1ページあたりのアイテム数が格納されていたから
> 数百アイテムがヒットする条件と1ページあたり0.00001件って感じで
> URL変数加工してアクセスしたら、ページ送りのためのリンクが死ぬほど
> 出力された後でサーバが沈黙したよ(;´Д`)捕まっちゃうかな

ずるぼんあぷろだにもそのバグあったな

参考：2005/05/26(木)02時42分49秒

> > 試すぐらいなら大丈夫だと思うんだけどな(;´Д`)実際怖いよ
> > 下手に公開したりすると捕まりそうだけど
> ショップサイトでURL変数に1ページあたりのアイテム数が格納されていたから
> 数百アイテムがヒットする条件と1ページあたり0.00001件って感じで
> URL変数加工してアクセスしたら、ページ送りのためのリンクが死ぬほど
> 出力された後でサーバが沈黙したよ(;´Д`)捕まっちゃうかな

変数ﾁｪｯｸすらしてない相手側が悪いと思うんだが(;´Д`)
これからは0.00001件等は試さないでくださいって取説に書かないとな(;´Д`)

参考：2005/05/26(木)02時42分49秒

> > まあ、あいかわらず実際にいろんなところで出来ちゃうんだけど(;´Д`)
> > Officeのおっちゃんの件があるから最近はうかつに試したり出来ないよ
> 試すぐらいなら大丈夫だと思うんだけどな(;´Д`)実際怖いよ
> 下手に公開したりすると捕まりそうだけど

ショップサイトでURL変数に1ページあたりのアイテム数が格納されていたから
数百アイテムがヒットする条件と1ページあたり0.00001件って感じで
URL変数加工してアクセスしたら、ページ送りのためのリンクが死ぬほど
出力された後でサーバが沈黙したよ(;´Д`)捕まっちゃうかな

参考：2005/05/26(木)02時39分54秒

> > まあ、あいかわらず実際にいろんなところで出来ちゃうんだけど(;´Д`)
> > Officeのおっちゃんの件があるから最近はうかつに試したり出来ないよ
> ｳｲﾙｽに掛かった踏み台PCを有効活用しようぜ(;´Д`)

踏み台昇降

参考：2005/05/26(木)02時40分24秒

> > せめて出力データさえちゃんとしてれば問題なかったんだろうけどさ(;´Д`)
> > つかe-wordとかも拙そうだね
> まあ、あいかわらず実際にいろんなところで出来ちゃうんだけど(;´Д`)
> Officeのおっちゃんの件があるから最近はうかつに試したり出来ないよ

ｳｲﾙｽに掛かった踏み台PCを有効活用しようぜ(;´Д`)

参考：2005/05/26(木)02時37分22秒

> > せめて出力データさえちゃんとしてれば問題なかったんだろうけどさ(;´Д`)
> > つかe-wordとかも拙そうだね
> まあ、あいかわらず実際にいろんなところで出来ちゃうんだけど(;´Д`)
> Officeのおっちゃんの件があるから最近はうかつに試したり出来ないよ

試すぐらいなら大丈夫だと思うんだけどな(;´Д`)実際怖いよ
下手に公開したりすると捕まりそうだけど

参考：2005/05/26(木)02時37分22秒

> > ユーザからのコマンドを受け付ける部分のシステムで使ってる
> > DBユーザの権限が無駄に高かったんじゃないかな
> > 全テーブル名取得できたりとかストアド作ったりとか
> ~ WHERE userID='unkomoretawarai'; DELETE * FROM YUKARINDB

それやるなら先にテーブル名を拾ってこないとな(;´Д`)
「';select * from user_tables;」とかフォームにぶち込むのかな

なんか違うかも

参考：2005/05/26(木)02時37分55秒

> > つかそもそもDBに直接ｱｸｾｽ出来るのってどうなのよ？
> ユーザからのコマンドを受け付ける部分のシステムで使ってる
> DBユーザの権限が無駄に高かったんじゃないかな
> 全テーブル名取得できたりとかストアド作ったりとか

~ WHERE userID='unkomoretawarai'; DELETE * FROM YUKARINDB

参考：2005/05/26(木)02時36分03秒

> > 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん
> せめて出力データさえちゃんとしてれば問題なかったんだろうけどさ(;´Д`)
> つかe-wordとかも拙そうだね

まあ、あいかわらず実際にいろんなところで出来ちゃうんだけど(;´Д`)
Officeのおっちゃんの件があるから最近はうかつに試したり出来ないよ

参考：2005/05/26(木)02時34分47秒

> > うちの社内システムだな(;´Д`)
> Apache 1.3.1とかで運営されてるうちの社内ｻｰﾊﾞもだな(;´Д`)

社外からｱｸｾｽできなければいいんじゃないの(;´Д`)

参考：2005/05/26(木)02時35分40秒

> > 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん
> 初歩的過ぎるよな(;´Д`)
> つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ

やっぱりﾉｰｶﾞｰﾄﾞ戦法だよ(;´Д`)kakaku.comみたいにやられても知らん顔してればいいんだし

参考：2005/05/26(木)02時32分15秒

> > 初歩的過ぎるよな(;´Д`)
> > つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ
> つかそもそもDBに直接ｱｸｾｽ出来るのってどうなのよ？

ユーザからのコマンドを受け付ける部分のシステムで使ってる
DBユーザの権限が無駄に高かったんじゃないかな
全テーブル名取得できたりとかストアド作ったりとか

参考：2005/05/26(木)02時33分28秒

> > 初歩的過ぎるよな(;´Д`)
> > つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ
> つかそもそもDBに直接ｱｸｾｽ出来るのってどうなのよ？

cgi経由じゃないの？(;´Д`)

参考：2005/05/26(木)02時33分28秒

> > 初歩的過ぎるよな(;´Д`)
> > つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ
> うちの社内システムだな(;´Д`)

Apache 1.3.1とかで運営されてるうちの社内ｻｰﾊﾞもだな(;´Д`)

参考：2005/05/26(木)02時33分01秒

> > NXビットというソリューション。この件では意味ないが
> 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん

せめて出力データさえちゃんとしてれば問題なかったんだろうけどさ(;´Д`)
つかe-wordとかも拙そうだね

参考：2005/05/26(木)02時29分25秒

> > NXビットというソリューション。この件では意味ないが
> うち対応してるな(;´Д`)つか判断できるPCなんてあったら死ねる
> 「エッチなのはいけないと思います！」とか言われるなんて萌える(*´Д`)

まあ誰かが台本書いて収録時にﾃﾞｨﾚｸｼｮﾝしてるんだけどな(;´Д`)

参考：2005/05/26(木)02時31分36秒

> > 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん
> 初歩的過ぎるよな(;´Д`)
> つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ

つかそもそもDBに直接ｱｸｾｽ出来るのってどうなのよ？

参考：2005/05/26(木)02時32分15秒

> > 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん
> 初歩的過ぎるよな(;´Д`)
> つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ

うちの社内システムだな(;´Д`)

参考：2005/05/26(木)02時32分15秒

> > NXビットというソリューション。この件では意味ないが
> 今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん

初歩的過ぎるよな(;´Д`)
つうかこの手のバグを抱えたまま運営されてるサイト他にもありそうだ

参考：2005/05/26(木)02時29分25秒

> > 意味分からんよな(;´Д`)ｺﾝﾋﾟｭｰﾀが判断する命令に正規も何もないよ
> NXビットというソリューション。この件では意味ないが

うち対応してるな(;´Д`)つか判断できるPCなんてあったら死ねる
「エッチなのはいけないと思います！」とか言われるなんて萌える(*´Д`)

参考：2005/05/26(木)02時28分33秒

> > 意味分からんよな(;´Д`)ｺﾝﾋﾟｭｰﾀが判断する命令に正規も何もないよ
> NXビットというソリューション。この件では意味ないが

今回は要するにSQLのダメ文字チェックしてないんでしょ(;´Д`)どうしようもないじゃん

参考：2005/05/26(木)02時28分33秒

> > http://www.asahi.com/national/update/0524/TKY200505230341.html
> > 今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意の
> > ある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置い
> > ていた。
> > (;´Д`)
> 意味分からんよな(;´Д`)ｺﾝﾋﾟｭｰﾀが判断する命令に正規も何もないよ

NXビットというソリューション。この件では意味ないが

参考：2005/05/26(木)02時19分04秒

> > ＞「過失はない」「地震のようなもの」
> > なんなんだ(;´Д`)このスタンスは
> 本当に地震で脱線した新幹線でもあんなに言われてたのにな(;´Д`)

あの状況でけが人一人も出さなかったのに安全神話崩壊とかな(;´Д`)馬鹿か

参考：2005/05/26(木)02時27分11秒

> > ＞流出したメールアドレス2万2511件の持ち主への補償は行わない。
> > ＞「自社内部の問題による情報流出ではなく、悪意の第三者からの
> > ＞ハッキングによる情報詐取のため」（穐田社長）。
> > http://www.itmedia.co.jp/news/articles/0505/25/news086.html
> > なんじゃそりゃ(;´Д`)
> > つーかSQLｲﾝｼﾞｪｸｼｮﾝとSQLｴﾗｰだだ漏れというどうしようもない状態だったのは流石に公開できないか
> つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに

IT系の社長では一番ｲｹﾒﾝ風な顔だからじゃあないでしょうか先生

参考：2005/05/26(木)02時23分50秒

> > つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに
> ＞「過失はない」「地震のようなもの」
> なんなんだ(;´Д`)このスタンスは

本当に地震で脱線した新幹線でもあんなに言われてたのにな(;´Д`)

参考：2005/05/26(木)02時25分23秒

> > つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに
> ＞「過失はない」「地震のようなもの」
> なんなんだ(;´Д`)このスタンスは

地震と違って備えられるのに過失はないってのは凄いね

参考：2005/05/26(木)02時25分23秒

> > ＞流出したメールアドレス2万2511件の持ち主への補償は行わない。
> > ＞「自社内部の問題による情報流出ではなく、悪意の第三者からの
> > ＞ハッキングによる情報詐取のため」（穐田社長）。
> > http://www.itmedia.co.jp/news/articles/0505/25/news086.html
> > なんじゃそりゃ(;´Д`)
> > つーかSQLｲﾝｼﾞｪｸｼｮﾝとSQLｴﾗｰだだ漏れというどうしようもない状態だったのは流石に公開できないか
> つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに

自分が分からないから世間の人もこんな感じで言っておけば
みんな分からないだろうと思ってるんじゃないのか

参考：2005/05/26(木)02時23分50秒

> > ＞流出したメールアドレス2万2511件の持ち主への補償は行わない。
> > ＞「自社内部の問題による情報流出ではなく、悪意の第三者からの
> > ＞ハッキングによる情報詐取のため」（穐田社長）。
> > http://www.itmedia.co.jp/news/articles/0505/25/news086.html
> > なんじゃそりゃ(;´Д`)
> > つーかSQLｲﾝｼﾞｪｸｼｮﾝとSQLｴﾗｰだだ漏れというどうしようもない状態だったのは流石に公開できないか
> つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに

＞「過失はない」「地震のようなもの」

なんなんだ(;´Д`)このスタンスは

参考：2005/05/26(木)02時23分50秒

> > 自分達でｾｷｭﾘﾃｨは最高ですとか言ってるしな(;´Д`)やられてるじゃん
> ＞流出したメールアドレス2万2511件の持ち主への補償は行わない。
> ＞「自社内部の問題による情報流出ではなく、悪意の第三者からの
> ＞ハッキングによる情報詐取のため」（穐田社長）。
> http://www.itmedia.co.jp/news/articles/0505/25/news086.html
> なんじゃそりゃ(;´Д`)
> つーかSQLｲﾝｼﾞｪｸｼｮﾝとSQLｴﾗｰだだ漏れというどうしようもない状態だったのは流石に公開できないか

つか何でこんなに強気なんだろうか(;´Д`)明らかに人災なのに

参考：2005/05/26(木)02時17分51秒

> > 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
> > ［国内記事］ 不正アクセスを受けて10日間閉鎖していた「価格.com」。
> > 不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
> > 公開するとか言ってたのにか(;´Д`)いきなり強気だな
> > ユーザが戻ってこなくて焦ってるのかも知れんがこの態度はいただけないな
> http://www.asahi.com/national/update/0524/TKY200505230341.html
> 今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意の
> ある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置い
> ていた。
> (;´Д`)

意味分からんよな(;´Д`)ｺﾝﾋﾟｭｰﾀが判断する命令に正規も何もないよ

参考：2005/05/26(木)02時17分48秒

> > 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
> > ［国内記事］ 不正アクセスを受けて10日間閉鎖していた「価格.com」。
> > 不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
> > 公開するとか言ってたのにか(;´Д`)いきなり強気だな
> > ユーザが戻ってこなくて焦ってるのかも知れんがこの態度はいただけないな
> 自分達でｾｷｭﾘﾃｨは最高ですとか言ってるしな(;´Д`)やられてるじゃん

＞流出したメールアドレス2万2511件の持ち主への補償は行わない。
＞「自社内部の問題による情報流出ではなく、悪意の第三者からの
＞ハッキングによる情報詐取のため」（穐田社長）。
http://www.itmedia.co.jp/news/articles/0505/25/news086.html

なんじゃそりゃ(;´Д`)
つーかSQLｲﾝｼﾞｪｸｼｮﾝとSQLｴﾗｰだだ漏れというどうしようもない状態だったのは流石に公開できないか

参考：2005/05/26(木)02時14分48秒

> > http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> > 頭いいのか悪いのか(;´Д`)
> 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
> ［国内記事］ 不正アクセスを受けて10日間閉鎖していた「価格.com」。
> 不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
> 公開するとか言ってたのにか(;´Д`)いきなり強気だな
> ユーザが戻ってこなくて焦ってるのかも知れんがこの態度はいただけないな

http://www.asahi.com/national/update/0524/TKY200505230341.html
今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意の
ある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置い
ていた。
(;´Д`)

参考：2005/05/26(木)02時12分48秒

> > http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> > 頭いいのか悪いのか(;´Д`)
> 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
> ［国内記事］ 不正アクセスを受けて10日間閉鎖していた「価格.com」。
> 不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
> 公開するとか言ってたのにか(;´Д`)いきなり強気だな
> ユーザが戻ってこなくて焦ってるのかも知れんがこの態度はいただけないな

自分達でｾｷｭﾘﾃｨは最高ですとか言ってるしな(;´Д`)やられてるじゃん

参考：2005/05/26(木)02時12分48秒

> http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> 頭いいのか悪いのか(;´Д`)

「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず

［国内記事］ 不正アクセスを受けて10日間閉鎖していた「価格.com」。
不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。

公開するとか言ってたのにか(;´Д`)いきなり強気だな
ユーザが戻ってこなくて焦ってるのかも知れんがこの態度はいただけないな

参考：2005/05/26(木)02時03分48秒

> > http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> > 頭いいのか悪いのか(;´Д`)
> 貴殿らがこー言うのやられたら恥ずかしくてお金払っちゃうんじゃないかな(;´Д`)漏れはﾌﾞｸﾏｺだけだからまあ良いけど

残念ながらIEはﾈｯﾄには使いませんので

参考：2005/05/26(木)02時06分33秒

> http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> 頭いいのか悪いのか(;´Д`)

貴殿らがこー言うのやられたら恥ずかしくてお金払っちゃうんじゃないかな(;´Д`)漏れはﾌﾞｸﾏｺだけだからまあ良いけど

参考：2005/05/26(木)02時03分48秒

> http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> 頭いいのか悪いのか(;´Д`)

貴殿の同人誌ｺﾚｸｼｮﾝを開けなくしたよ(´ー｀)
身代金支払ってね

参考：2005/05/26(木)02時03分48秒

> http://www.itmedia.co.jp/news/articles/0505/25/news007.html
> 頭いいのか悪いのか(;´Д`)

軽度の暗号らしいのでジョークなんだろうな

参考：2005/05/26(木)02時03分48秒

http://www.itmedia.co.jp/news/articles/0505/25/news007.html

頭いいのか悪いのか(;´Д`)