fusianasanバグを利用した荒らしについて
1 :プロバイダ板住人:
最近プロバイダ板で、タイトルのような荒らしが横行しています。
具体例はここです。
http://salami.2ch.net/test/read.cgi?bbs=isp&key=994181574&st=721&nofirst=true
CGIのバグだと思われるので修正していただけないでしょうか?
既出かもしれませんが、
タイトルから探せなかったのであえてスレを立てさせていただきますm(_ _)m
具体例はここです。
http://salami.2ch.net/test/read.cgi?bbs=isp&key=994181574&st=721&nofirst=true
CGIのバグだと思われるので修正していただけないでしょうか?
既出かもしれませんが、
タイトルから探せなかったのであえてスレを立てさせていただきますm(_ _)m
|
|
|
言っとくけどプロバ板だけじゃないよん。
恐らく全ての板で実行できると思う・・・。
恐らく全ての板で実行できると思う・・・。
3 :1:2001/07/04(水) 21:10 ID:QlljoDwI
やり方ですが、
名前欄に「診usianasan」って書くと、
ボールドタグが正しく閉じない状態になるとのことです。
名前欄に「診usianasan」って書くと、
ボールドタグが正しく閉じない状態になるとのことです。
ソッコーでなおしてくれ!
うざくてうざくてうざすぎる。
緊急早急に直して!
緊急早急に直して!
7 :名無しさんの声:2001/07/04(水) 21:11 ID:QlljoDwI
fusianasanの応用で以降のレスをすべて太字にしてしまう手口の荒らしが
出ています。中途半端な文字コードをチェックして弾くようにしてください。
たとえばこういうの。なんかまたまったく理解できないとか言われそうです
が。
my $re_sjis_zen = '[\x81-\x9F\xE0-\xFC][\x40-\x7E\x80-\xFC]';
my $re_sjis_han = '[\xA1-\xDF]';
my $re_ascii = '[\x20-\x7E]';
unless ($FORM{'FROM'} =~ /^($re_sjis_zen|$re_sjis_han|$re_ascii)*$/) {
DispError("ERROR!","ERROR:名前欄に不正な文字列があります。");
}
で、同様のチェックをメール欄やサブジェクトに対しても行います。この
チェックは当然fusianasanの置換を終えた後に行う必要があります。
このチェックを行うようにすれば "mailto:$mail " の末尾に空白を入れる
といった小細工も不要になります。
また、スクリプトで直接bbs.cgiを叩くなどの方法を使っても、文字化けし
たパターンを名前欄やメール欄に入れることができなくなります。
sjisチェックよりずっと確実です
出ています。中途半端な文字コードをチェックして弾くようにしてください。
たとえばこういうの。なんかまたまったく理解できないとか言われそうです
が。
my $re_sjis_zen = '[\x81-\x9F\xE0-\xFC][\x40-\x7E\x80-\xFC]';
my $re_sjis_han = '[\xA1-\xDF]';
my $re_ascii = '[\x20-\x7E]';
unless ($FORM{'FROM'} =~ /^($re_sjis_zen|$re_sjis_han|$re_ascii)*$/) {
DispError("ERROR!","ERROR:名前欄に不正な文字列があります。");
}
で、同様のチェックをメール欄やサブジェクトに対しても行います。この
チェックは当然fusianasanの置換を終えた後に行う必要があります。
このチェックを行うようにすれば "mailto:$mail " の末尾に空白を入れる
といった小細工も不要になります。
また、スクリプトで直接bbs.cgiを叩くなどの方法を使っても、文字化けし
たパターンを名前欄やメール欄に入れることができなくなります。
sjisチェックよりずっと確実です
本当にうざい!
良いんでないの?
あっちは総合でしょ。
スレ立てて目立たないと直してもらえないよ
なんせ死ぬほどウザイので。
あっちは総合でしょ。
スレ立てて目立たないと直してもらえないよ
なんせ死ぬほどウザイので。
14 :名無しさんの声:2001/07/04(水) 21:23 ID:QlljoDwI
お、早速動いたか。
スレ立てたかいがあったようで何より。
スレ立てたかいがあったようで何より。
test
>>15=馬鹿
??>>16
18 :?147.pool0.ipctokyo.att.ne.jp:2001/07/05(木) 07:47 ID:???
やっぱまだ直ってない?
太字だ!!(゚д゚)ウマ-
なんか別にこれはこれで悪くないかも・・って思ってしまったよ
22 :名無しさんの声:2001/07/05(木) 08:37 ID:H/wi69lo
これはageといたほうがいいな・・・
23 :22:2001/07/05(木) 08:40 ID:H/wi69lo
agaってた・・・
鬱・・・
氏・・・
鬱・・・
氏・・・
24 :?pl060.nas312.takasaki.nttpc.ne.jp:2001/07/05(木) 09:33 ID:???
ああ
25 :・/b>teri.2ch.net:2001/07/05(木) 10:58 ID:???
26 :ななし:2001/07/05(木) 12:17 ID:/jgKCZdY
</b>
27 :ななし:2001/07/05(木) 12:17 ID:/jgKCZdY
どうだゴラァ
28 :?cj3160640-a.chgsk1.kt.home.ne.jp:2001/07/05(木) 12:39 ID:???
29 :ききずてならねぇな。:2001/07/05(木) 16:19 ID:3m7GiOTQ
このバグ、スタイルシートが使えたときよりは、
面白味に欠けるな。。。
面白味に欠けるな。。。
ユーザー・スタイルシートで<b>を太字じゃなくしちゃうのじゃダメなん?
・・・太字がなくなっちゃうから、見にくいのにかわりはないけど。。。
・・・太字がなくなっちゃうから、見にくいのにかわりはないけど。。。
32 :診usianasan:2001/07/05(木) 17:51 ID:???
test
おお、直ってる! すげー!
34 :診usianasan:2001/07/05(木) 18:54 ID:???
test
35 :<</b></b></b>:2001/07/05(木) 22:25 ID:???
test
36 :・/b>147.pool0.ipctokyo.att.ne.jp</b></b>:2001/07/05(木) 22:28 ID:???
test
<b><i><u>くらいは使えた方が面白いかも。
無論属性は全部無視で、閉じられてない場合は自動で閉じるようにして、不完全ならただのカキコとして見て。
無論属性は全部無視で、閉じられてない場合は自動で閉じるようにして、不完全ならただのカキコとして見て。