アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
エンジニアの質が低すぎるのでは (スコア:3, 興味深い)
楽天日記の場合、タグのサニタイジングは要素名で判断、Javascript対策は全文検索をかけて半角文字でdocumentのような javascriptで使われる文字列が見つかると危険と判断しているようです。ユーザーも困っているようで苦情書き込みも見つけました。半年前まで興味深く見守り何度か間接的に注意を投げましたがこんな状況です。
楽天日記はログインしたままでユーザー間の日記を往復しているユーザーが多く、また奪ったアカウントは買い物や個人情報のアクセスにも使えるためセッションを奪え
エンジニアは一般職? (スコア:1, 興味深い)
毎日就職ナビにセッション乗っ取りの脆弱性があります。
一応、指摘したんだけど。対策されないままです。
説明会の予約、試験の予約を取り消せたり、
個人情報を変更できちゃったり。
他、ショッピングサイトによくある脆弱性も減らないねぇ。
『https://hoghoge/product_list.cgi?cid=c001』
こんな感じのURLでGET引数を偽装する事でSQL叩けるって現状
query = "SELECT id, name FROM product WHERE category_id='" + cid + "'";
こんな事やっているだけだから、
Re:エンジニアは一般職? (スコア:0)
そんな状況にしておく必然性が全く理解出来ないんだけど...。
> ビューも使わない。
ゴメンナサイ、金が無いのでMySQLです。
Re:エンジニアは一般職? (スコア:0)
WHERE id = '$id';
とかそうですね。
昔ボルチモアテクノロジーがやっちゃっていたと思います。セキュリティ製品売ってるのにねぇ。
m(__)m (スコア:0)