テスト書き込みスレッド

1 ：塊素 司令 ★：2013/02/24 23:42:00 ID:z6EFo5rrq.

　書き込みテストはこちらでどうぞ。
　掲示板の使い方は >>2-5 を参照してください。

2 ：塊素 司令 ★：2013/02/24 23:43:00 ID:z6EFo5rrq.

■名前欄
　好きな名前を入れます。入れない場合はデフォルトの名無しさんになります。
　⇒名無しばかりだからと言って「名無しさん、よくこの掲示板にいますよね」と思ってはいけません。
　名前に #好きな文字列 をくっつけると本人確認用暗号化文字列がくっつきます。
　トリップといいます。
　例：塊素#かいそ ⇒ 塊素 ◆ppgKZuXwGc

　トリップに関しては一度、ネット検索したほうがいいでしょう。場合によっては中身がばれているものも存在します。
　なお、この機能の為、「◆」は「◇」に変換されます。偽者対策。

　★ が付いているのは掲示板においてスレッド削除などの特殊権限を持っている人です。ここでは一人しかいません。
　こちらも「★」は「☆」に変換されます。

■E-mail(省略可)
　メール欄ですが、本当にメールアドレスを記入しないようよろしくお願いします。こんなところでメールアドレスを公開するものではありません。
　ここに「sage」と記入すると書き込んだときにスレッドが一番上に上がらないよう制御することが出来ます。
　隠しメッセージを書き込むのもここ。

3 ：塊素 司令 ★：2013/02/24 23:43:00 ID:z6EFo5rrq.

■本文入力
　いろいろと制限がありますが注意すべきはウェブページアドレスの記入時に「ｈｔｔｐ：／／」の半角文字が弾かれるという点。
　頭の h を削ってください。

■アンカーについて
　本文入力において 「 >>番号 」と入力するとリンクに変換されます。
　これをアンカー（俗に安価）と言い、どの書き込みに対しての書き込みなのかを明示できます。
　２ちゃんねる専用ブラウザを使うとあれこれと便利に使えます。アンカー指定先の書き込みをそこから読めたりとか。

　アンカーの書き方について、以下のものがあります。

　>>1　　　単一書き込みへのアンカー
　>>1-3 　.複数書き込みに対してのアンカー

■右上にある ID について
　書き込み者の IP を元に零時からニ三時五九分まで、常に同じ文字列を表示します。
　これにより、発言者が同じ人かどうかを「ある程度」特定できます。IP が変われば ID も変わります。共同住宅地に住んでいる人たちは同じ ID になる可能性があります。

■この掲示板は２ちゃんねるブラウザに対応しています
　使ってる人は外部板登録してもらったら見易いかも？

4 ：塊素 司令 ★：2013/02/25 00:04:00 ID:VM6odaj05I

■ファイルアップロードについて
　この掲示板にはファイルアップロード機能はありません。
　なので、ファイルアップローダーを利用してファイルをアップし、アップロードファイルのアドレスを掲示板に貼り付けてください。

　ファイルアップローダー（１ファイル 200KB まで）
　ttp://hades.worlds-walkers.org/~public_space/_U/upload.html

　チーム交流会以外への使用もある程度、許容いたします。

5 ：新しき交流者：2013/03/12 21:42:00 ID:DRmYJF.o/U

>>2-4
テスト

6 ：新しき交流者：2022/03/22(火) 23:50:32 ID:AXrMobgQ

掲示板に警告してくれた人に感謝いたします。

■状況
　ぜろちゃんねる掲示板の管理機能において、操作ログ閲覧画面を開くとユーザー「kara****」（一部伏字に修正）が意図せずに作成される。

■攻撃種別
　クロスサイトスクリプティング

　管理者ログイン画面のユーザー名入力テキストボックスに対して悪意ある Javascript を入力。
　これ自体はログインできずに失敗するが、管理者が操作ログ閲覧画面を開いた際に Javascript が実行される。

■対策
　１．管理者は直ちに管理画面の右上メニューの「ユーザー」リンクからユーザー一覧を確認し、
　　　不審なユーザーが作成されていた場合は削除すること。

　２．もしも先に乗っ取られてしまった場合は直ちにぜろちゃんねるCGIフォルダのパーミッション（属性）を変更し、
　　　掲示板を閲覧できないようにしてください。
　　　※パーミッション（属性）はひとまず 700 （管理者のみ、読み書き実行可）にするとよいかと。
　　　※最悪、掲示板の削除も視野に入れてください。

　３．「操作ログ閲覧」画面においてクロスサイトスクリプティングを無効化する。
　　※プログラムの修正が必要です。即座に対策が必要な場合は自己責任で修正すること。

7 ：新しき交流者：2022/03/22(火) 23:52:04 ID:AXrMobgQ

■対策２の修正内容

●修正対象ファイル
　/test/mordor/sys.top.pl

●作業手順
　１．sys.top.pl をファイルコピーしてバックアップしてください。
　　　sys.top.pl.20220322 と拡張子を変えてしまう方法が個人的におすすめ。
　２．361行目 sub PrintAdminLog 関数に移動
　３．367 行目辺り（my ... という行があるすぐ下あたり）に以下の関数を追加

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
my $sanitize = sub {
$_ = shift;
s/&/&/g;
s/</&lt;/g;
s/>/&gt;/g;
s/"/&#34;/g;
return $_;
};
# ▲ 2022/03/22 {修正者名}

　　　⇒［解説］
　　　　クロスサイトスクリプティングで必須の &、<、>、" の文字列を置換して無害化します。
　　　　$sanitize 関数自体はぜろちゃんねる CGI の中で使用されているロジックをコピペしてきただけ。
　　　　心配でしたらファイルを grep 検索してみてください。

　４．修正前でいうところの 404 行目「# ログ一覧を出力」のコメントを探す。
　　　その下に記述されているロジック、
　　　　$elem[0] = GALADRIEL::GetDateFromSerial(undef, $elem[0], 0);
　　　の下に以下のロジックを追加。

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
$elem[1] = &$sanitize($elem[1]);
# ▲ 2022/03/22 {修正者名}