Mixi主催のScrapChallengeって大会行ってきたよ！

しかもなんかダントツ優勝したらしいよ！

Mixiのクローンサイトにアタックを仕掛ける楽しいイベント。

面白かったので自分のプロフィール画面に蒸気機関車走らせたり、懐かしのmarqueeタグを突っ込んでふざけたりしてました。

前者はXSS見つけた部分にSL.JSを仕込んで走らせてます。

真面目な感想を述べさせてもらうと、

「入力されたデータは一ミリも信用するな！」

来年も開催された場合も考えるとXSSとかのバリエーションってあまりたくさんあるわけでもないから、具体的な問題については触れないでおきます。

ただ、例えばXSSなんてものは、ユーザーが入力したデータを出力する場面では絶対にエスケープしましょうとか基本的なことなんだけど、それを出来てない会社さんも多かったりします。

実際僕が悪ふざけ半分おせっかい半分で知り合いのサービスを調査してあげると結構な割合で引っかかりますよ。

非常に基本なことだけども、HTMLに出力する場合のエスケープ、SQLに突っ込む場合のエスケープは気をつけて！

今日も午前中の勉強会で話に出てきたはまちやさんのこの記事、分かりやすくていいから見とくこと！

http://d.hatena.ne.jp/Hamachiya2/20120215/php_security

最後に今日お世話になりましたMixiの皆さん、ありがとうございました。

Mixiのエンジニアの皆さん、とってもGeekで熱い人達でした。

僕もKinesisキーボード教に入信いたします。