水無月ばけらのえび日記

安い三四郎

昔 Microsoft Excel XP を買おうと思って店に行ったら、33,000円とかいう予想外の値段が付いていて残念な思いをしたことがあります。逆に、Microsoft Word XP は思ったよりずっと安くて驚きました。私は一太郎ユーザなので、Word は要らないのですが……。

で、そのままうろうろしていたら、偶然にも Justsystem の表計算ソフト「三四郎 (www.justsystem.co.jp)」を発見。解説書とセットになったパッケージがなんと 4,000円を切る値段で売られていて、そのあまりの価格差にびっくり仰天、思わず買ってしまったという前科があります。

というわけで、ある意味「比較」して「乗り換えた」のですが、その三四郎、アンドゥが 1回しかできないというのには意表をつかれました。一太郎や花子はそれぞれ 50回、100回アンドゥできるのに……。表計算って結構アンドゥすると思うのですが、値段を考えるとあまり文句も言えない感じです。

• 「安い三四郎」へのコメント (2件)

関連する話題: 思ったこと / ジャストシステム / Microsoft Word

バリューパートナー

ふと、google で「バリューパートナー」を検索 (www.google.com)してみたのですが、これがまたものすごい勢い。しかも広告の内容が全然マッチしていないという……。

• 「バリューパートナー」にコメントを書く

関連する話題: メモ / Web

外部のアセンブリから任意のメソッドを呼び出す

C# ではこんな感じで、任意の場所にあるアセンブリから任意のクラスの任意のメソッドを呼び出すことができます。

Assembly hatomaru = Assembly.LoadFrom(@"C:\hoge\hatomaru.dll");

Type t = hatomaru.GetType("Bakera.Util");

Object[] p = new Object[1];
p[0] = "test";
Object result = t.InvokeMember("StringToHex",
 BindingFlags.Public | BindingFlags.InvokeMethod | BindingFlags.Static,
 null,
 null,
 p
);
Console.WriteLine(result);

「プラグイン」をコンパイルして DLL にしておき、それをこうやって呼び出したり出来るということで、謎の ECM を C# に移植すればかなりスマートになりそうな予感。

• 「外部のアセンブリから任意のメソッドを呼び出す」にコメントを書く

関連する話題: メモ / コンピュータ / プログラミング / C#

フレームの中のクロスサイトスクリプティング

またクロスサイトスクリプティング脆弱性を発見。CGI のパラメータとして渡された URL が frame要素の src属性の値として出力されますが、その際にサニタイズを怠っています。

面白かったのは、frameset要素の中では思ったよりも exploit が難しいということです。こういうパターンで私がよく使うデモ用 exploit は 「"><s>test</s>」 という文字列ですが、今回のケースの場合、フレームが有効なブラウザでは frameset要素の中身が何も表示されないため、うまくいきませんでした。

結局、作った exploit は「"onload="alert('foo')」という文字列です。これを喰わせると、frame要素の onload属性に指定されたスクリプトとして alert が実行されます。

• 「フレームの中のクロスサイトスクリプティング」にコメントを書く

関連する話題: 出来事 / コンピュータ / Web / セキュリティ / クロスサイトスクリプティング脆弱性 / フレーム