自動ニュース作成G
予告inがクロスサイトスクリプティング脆弱性を突かれる
http://yokoku.in/column/release/080803.php
2008-08-04 00:04:24
予告inに通報しようとすると2chに犯行予告スレッドを勝手に立てるスクリプトを埋められる。
通報しようとして犯行予告をしてしまい、それを通報というループができてしまったというわけ
・リンク先の「被害の概要」が分かりやすいな。
・XSSじゃなくてCSRFじゃないの?罪に問えるのかねぇhttp://takagi-hiromitsu.jp/diary/20080315.html
・#2 厳密に適用すれば無理だな。それでもなんだかんだイチャモンつけて捕まえるんだろ。まあ、「屁をする」って奴を通報するようなクズの作ったサイトの欠陥なんだから、矢野本人がなんらかの責任とるべきだと思うがな。
・予告.inの脆弱性そのものは割とどうでもいい。これを予告.in以外の場所でひそかにやられた場合、自分が犯行予告したのではないことを自警団気取りのイナゴどもや警察に対して納得させられるの? 冤罪逮捕続発の予感。
・通報されるのと、逮捕されるのの違いが解ってない人がいるのね。そこまで警察は馬鹿じゃないよ。んで、仮に逮捕されても、必ず前科がつくわけでもなし。
・ていうか、もう予告inとは関係なくなってるよね。書き込みがスクリプトかどうかなんて本人に聞かなきゃわからない。
・これを利用して、勝手にカキコするウイルスが流行るかもね。予告イン以外の所でさ。
・世のためにと0億円で立ち上げて話題になったのに、疎まれるだけの存在になってしまったら普通に閉鎖では。正義感がありすぎた管理人には同情するよ。
・これ、このウィルス的動作をするスクリプトを作った人が、実際に犯行を予告するためにあちこちに書き込みするこれを作ったんだったりしてな。
・#9 そうとは知らずウイルスの仕業にしてほっておき、後で新たな犯行が発生 → ウイルスカキコ用の予告inも開設♪
・#10 それだったら今のでそのまま使えるね。
・新製品 予告バスター&ノートン予告セキュリティ
・>#5 逮捕されたら、結果が不起訴だろうが、厳重注意だろうが、成人なら必ず実名で住所、職業、年齢セットで晒し者にされて、社会的に終わることが問題なんだろ。