† welcome to Punyu Net †
PHPのお絵かき掲示板「POTI-board」などのPHPスクリプトを開発したり、オンラインDVDレンタルのまとめ検索を作ってみたり、
絵を描いてみたり、日記を書いたり、ホビー系のレビューしたり…と、ミーハーな管理人 SakaQ が運営しているサイトへようこそ
時間のないサイト運営者リング

<<2005/06>>



01020304
05060708091011
12131415161718
19202122232425
2627282930

リ ス ト 表 示

…相互リンク。

 - CG・イラスト -
+OUT OF SIGHT (KIMちー[ちゅうに])
リリスラウダ研究所 (リリス・ラウダ)
SLeeVe (Sody)
南極パラダイス (渡瀬のぞみ)
AARDVARK. (じじ)
EYEBALL'S NURIE CG HOMEPAGE (あい・ぼうる)
ジャポうどん (誰たろう)
夢寐夢中 (雪城よし)
KONCHIKIDOU (こんちき)
Extra Stage (MIY)

 - 情報・ニュース -
useWill.com (ふぇちゅいん)
萌えクロニクル(仮) (katoran)
RBB TODAY
魔天 (HANG)
まこなこ
さて日記 (M&D)
MOON PHASE
HK-DMZ PLUS.COM

 - アニメ系 -
No Anime No Life (Mika S.Tanai)
全国のTVアニメの番組表
MOON PHASE

 - ホビーレビュー -
元村民(偽) (And)
すたれ屋
アスまんが劇場
TASTE (もじゃ)

 - ガレージキット制作 -
まるや工房 (kitta(モデラー:やまちゃん))
T's system.online (宮川 武、松森淳二、奥村幸生)
あかきサイクロン
ポリゴニア (ぽりご)
EdenPlustics (浅井真紀(F-Face))
MEN's瓦礫屋 (めーん)

あみあみ
キャラアニ.com
ビージェイ
DONEUNYO
トイザらスオンラインショッピング
アット市場
BO−YA
ソリオ
ガラシャ
電脳玩具屋ベルモ
ホビーサーチ
キャラネット
SHOP702
セブンドリーム

キャラアニ.com




あなたのホームページ・メールマガジンに広告を載せてみませんか?成功報酬型で広告費を支払うエーハチネットがおすすめ。


Date:2005年/6月/03 (Total 1 items)

■ POTI-board v1.32 リリースノート 2005/06/03(金) 11:00
[トピックス/POTI-board]

近増えた、ひぐらしやら著作権の侵害やらの荒らし。ちょうど、うちにも来たので調査してみたところ、ある程度対応できそうなので対応してみた。というわけで、POTI-board v1.32 のリリースノートでぃす。

  ・6月2日19時頃公開(lot.050602


ちにも荒らしが来て気付いたのだが、この荒らしの事を知る前に見つけた画像アップperlを改良しての犯行っぽい。
念の為にダウンロードしてそのperlをみたときは「一応アップできるよ」くらいのスクリプトで気にしてはいなかったが、今回の荒らしはこれを実用できるように改良したものを使っているらしいですね。


で。「バグ利用にて配信」と荒らしの内容にあるが、どちらかというと仕様の甘さを突いた方法での犯行です。


以下が犯行の方法。

(1) 送信する画像があるフォルダからランダムに画像を選び、picpost.phpにPaintBBSのヘッダー情報を付けて送信。このとき、proxyとUAのリストからランダムでそれぞれを偽装。

(2) potiboard.php?mode=piccom&stime=******にアクセスし、<option>タグのvalueを取得。このときクッキーも取得する。

(3) あとは取得情報を使い、お絵かき画像を偽って送信。このときも、proxyとUAを偽装しているっぽい。


ここで問題になるのが、picpost.phpに画像を送信しているところ。
これは、picpost.phpがアプレットからのデータしか受け取らないのを想定して画像のチェックをしてないところを突いた方法である。

他にも、proxyリストからIPを偽装することにより、連続及び二重投稿のチェックをすり抜けている。

ただ、間抜けな事に『未承諾広告』などの固有語句を毎回使ってるので、それを拒絶文字列に指定するだけで対処できたりする。


でも、解決策にはならないので先程の問題を踏まえて以下の仕様変更を行った。

... 続きはこちら


[ このエントリへはコメント出来ません ]

Date:2005年/6月/03 (Total 1 items)




Copyright(C) 1999-2024 SakaQ. All rights reserved.
Powered by rNote 0.9.6