【DQ10】フリコメにコードを書くと広場で実行可能のバグ
http://hiroba.dqx.jp/sc/forum/prethread/82900/?type=0
フリーコメントにあるコード実行しちゃうんですね、この広場。
具体的にどういうことかは、私のマイページを見てもらえると視覚的によくわかると思います。
アクセスカウンター、置いてみました。
http://hiroba.dqx.jp/sc/character/1025296685736/
フリーコメントにあるコード実行しちゃうんですね、この広場。
具体的にどういうことかは、私のマイページを見てもらえると視覚的によくわかると思います。
アクセスカウンター、置いてみました。
http://hiroba.dqx.jp/sc/character/1025296685736/
|
|
|
2 :名前が無い@ただの名無しのようだ:2013/02/04(月) 19:42:57.22 ID:psqSIOrY0
エスターク詐欺 ナナ
ID WB438-036 住宅 アズラン静かなる湿原 5912−6
別キャラ
アシッド AF050-176
ふろっしゅ HU380-998
サファイア BO600-013
フレ
ポンポロリン FM883-615
レイ PL839-187
ごうき WB216-935
りゅういち BY102-461
ID WB438-036 住宅 アズラン静かなる湿原 5912−6
別キャラ
アシッド AF050-176
ふろっしゅ HU380-998
サファイア BO600-013
フレ
ポンポロリン FM883-615
レイ PL839-187
ごうき WB216-935
りゅういち BY102-461
3 :名前が無い@ただの名無しのようだ:2013/02/04(月) 20:00:20.26 ID:Fql9AwhkO
かにー
4 :名前が無い@ただの名無しのようだ:2013/02/04(月) 20:05:29.23 ID:ks2Ys2PK0
5 :名前が無い@ただの名無しのようだ:2013/02/04(月) 21:45:38.01 ID:U0A/+z+h0
実行されてないけど?
6 :名前が無い@ただの名無しのようだ:2013/02/05(火) 00:19:08.74 ID:0nKssOXs0
消されたかw
7 :名前が無い@ただの名無しのようだ:2013/02/05(火) 00:47:29.17 ID:dAvwiwJV0
>>1 HTMLインジェクションできたのかよwwwwww
なにげに不祥事レベルの不始末じゃねーかwww
セキュリティ監査体制ゼロってことだろwwwww
HTMLインジェクションなんか10数年前のセキュリティホールだぞwwww
なにげに不祥事レベルの不始末じゃねーかwww
セキュリティ監査体制ゼロってことだろwwwww
HTMLインジェクションなんか10数年前のセキュリティホールだぞwwww
8 :名前が無い@ただの名無しのようだ:2013/02/05(火) 09:22:50.15 ID:aWTN8Chh0
リクエストパラメータで怪しい文字は
例外無くエンコードしてその後必要に応じて
デコードするようにしておきましょう
例外無くエンコードしてその後必要に応じて
デコードするようにしておきましょう
9 :名前が無い@ただの名無しのようだ:2013/02/05(火) 11:11:26.42 ID:7o2BnUisP
今告知されてる不具合修正のメンテはこれか
具体的な内容書いてないし提案広場消されてるし
悪用されないようにこそっと直す気だな
具体的な内容書いてないし提案広場消されてるし
悪用されないようにこそっと直す気だな
10 :名前が無い@ただの名無しのようだ:2013/02/05(火) 19:17:42.01 ID:Q1q5GTjX0
なんか昔ようつべでもあったよねこんなの
11 :名前が無い@ただの名無しのようだ:2013/02/05(火) 21:12:14.29 ID:Z5xe0zps0
オススメのLSコミュのときと同じレベルじゃねぇか
あれもググればわかるけど実装当初すげーやばい状態だったんだよ
あれもググればわかるけど実装当初すげーやばい状態だったんだよ
12 :名前が無い@ただの名無しのようだ:2013/02/06(水) 18:14:38.38 ID:RTv8eeeM0
銀行女王っていくら預けたらなれるの?
13 :名前が無い@ただの名無しのようだ:2013/02/06(水) 18:19:23.13 ID:xgb3gbyL0
え?なんか緊急メンテあんの?
14 :名前が無い@ただの名無しのようだ:2013/02/06(水) 18:47:49.41 ID:QBAPVkYV0
嫌儲のゴミか。
こいつらオークションイベント荒らしてたカスだろ。
こいつらオークションイベント荒らしてたカスだろ。
15 :名前が無い@ただの名無しのようだ:2013/02/06(水) 18:57:44.89 ID:MScikY5mO
シンラのナギがパーテーションだから世界のラグーンがコクーンに見たいな話しないでくれ
16 :名前が無い@ただの名無しのようだ:2013/02/06(水) 19:09:19.72 ID:QJA8vELI0
本当に嫌儲のニートは構ってチャンが多いな
17 :名前が無い@ただの名無しのようだ:2013/02/06(水) 20:22:40.04 ID:vjSffJuY0
>>1みれない
どういうこと?
どういうこと?
18 :名前が無い@ただの名無しのようだ:2013/02/06(水) 20:49:29.95 ID:QJA8vELI0
こいつヘタクソなアトラス動画をつべに挙げたり
オークションを荒らしたりちょっと頭がおかしいな
はっきり言うとPSO2の嫌儲チームにいた迷い猫を彷彿とさせる
オークションを荒らしたりちょっと頭がおかしいな
はっきり言うとPSO2の嫌儲チームにいた迷い猫を彷彿とさせる
19 :名前が無い@ただの名無しのようだ:2013/02/06(水) 20:51:46.77 ID:0kVxQOcx0
なるせの事?
20 :名前が無い@ただの名無しのようだ:2013/02/07(木) 00:51:07.59 ID:ibNV8GeYP
何?
クロスサイトスクリプティング?
クロスサイトスクリプティング?
21 :名前が無い@ただの名無しのようだ:2013/02/07(木) 01:21:12.11 ID:jdBSeBhc0
必殺技みたいだな
22 :名前が無い@ただの名無しのようだ:2013/02/07(木) 13:03:52.61 ID:UASks3eI0
http://hiroba.dqx.jp/sc/forum/pastthread/82900/
フリーコメントにあるコード実行しちゃうんですね、この広場。
具体的にどういうことかは、私のマイページを見てもらえると視覚的によくわかると思います。
アクセスカウンター、置いてみました。
アクセスカウンターみたいな害のない健全な使い方もあれば、エロ画像貼るなどの不健全な使い方、
さらには不健全を通り越した、パスワード抜きなどの悪い使い方もできちゃいそうですね。
健全な使い方だけなら面白いって思うんですが、悪い使い方をされるのではないかととても心配です。
というかまず確実に現れますよね、悪い人って。
修正した方がいいんじゃないかなーって思うんですけども、どうでしょうか
フリーコメントにあるコード実行しちゃうんですね、この広場。
具体的にどういうことかは、私のマイページを見てもらえると視覚的によくわかると思います。
アクセスカウンター、置いてみました。
アクセスカウンターみたいな害のない健全な使い方もあれば、エロ画像貼るなどの不健全な使い方、
さらには不健全を通り越した、パスワード抜きなどの悪い使い方もできちゃいそうですね。
健全な使い方だけなら面白いって思うんですが、悪い使い方をされるのではないかととても心配です。
というかまず確実に現れますよね、悪い人って。
修正した方がいいんじゃないかなーって思うんですけども、どうでしょうか
23 :名前が無い@ただの名無しのようだ:2013/02/07(木) 21:14:17.43 ID:jdBSeBhc0
ねちっこい文章だなw
24 :名前が無い@ただの名無しのようだ:2013/02/16(土) 00:39:30.99 ID:iJiJwkps0
これ実は冗談じゃない、バグだよ
例えば、広場にログインして、フリーコメントにjavascriptでも
仕込んでおけば、パスワード抜けるよ、IDも。
で、不正にゴールド引き出される。アカウントジャックされる。
例えば、広場にログインして、フリーコメントにjavascriptでも
仕込んでおけば、パスワード抜けるよ、IDも。
で、不正にゴールド引き出される。アカウントジャックされる。
悪意を持った中華業者が、javascriptを仕込んで、別のサーバに
情報を送る設定をしておく。
誰かがアクセスすると、パスワードとIDを送ってしまうことになる。
マジです。ゴールドやアカウントが盗まれるかも。
情報を送る設定をしておく。
誰かがアクセスすると、パスワードとIDを送ってしまうことになる。
マジです。ゴールドやアカウントが盗まれるかも。