Mixi Scrap Challengeに行ってなんか優勝してきました!


Mixi主催のScrapChallengeって大会行ってきたよ!

しかもなんかダントツ優勝したらしいよ!

 

Mixiのクローンサイトにアタックを仕掛ける楽しいイベント。

面白かったので自分のプロフィール画面に蒸気機関車走らせたり、懐かしのmarqueeタグを突っ込んでふざけたりしてました。

前者はXSS見つけた部分にSL.JSを仕込んで走らせてます。

 

真面目な感想を述べさせてもらうと、

「入力されたデータは一ミリも信用するな!」

 

来年も開催された場合も考えるとXSSとかのバリエーションってあまりたくさんあるわけでもないから、具体的な問題については触れないでおきます。

ただ、例えばXSSなんてものは、ユーザーが入力したデータを出力する場面では絶対にエスケープしましょうとか基本的なことなんだけど、それを出来てない会社さんも多かったりします。

実際僕が悪ふざけ半分おせっかい半分で知り合いのサービスを調査してあげると結構な割合で引っかかりますよ。

 

非常に基本なことだけども、HTMLに出力する場合のエスケープ、SQLに突っ込む場合のエスケープは気をつけて!

今日も午前中の勉強会で話に出てきたはまちやさんのこの記事、分かりやすくていいから見とくこと!

http://d.hatena.ne.jp/Hamachiya2/20120215/php_security

 

最後に今日お世話になりましたMixiの皆さん、ありがとうございました。

Mixiのエンジニアの皆さん、とってもGeekで熱い人達でした。

僕もKinesisキーボード教に入信いたします。

コメントする

あなたのメールは 絶対に 公開されたり共有されたりしません。

次の HTML タグと属性が使用できます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>