■掲示板に戻る■
全部
1-
最新50
[PR]
ぜろちゃんねるプラス
[PR]
テスト書き込みスレッド
1 :
塊素 司令
★
:2013/02/24 23:42:00 ID:z6EFo5rrq.
書き込みテストはこちらでどうぞ。
掲示板の使い方は
>>2-5
を参照してください。
3 :
塊素 司令
★
:2013/02/24 23:43:00 ID:z6EFo5rrq.
■本文入力
いろいろと制限がありますが注意すべきはウェブページアドレスの記入時に「http://」の半角文字が弾かれるという点。
頭の h を削ってください。
■アンカーについて
本文入力において 「 >>番号 」と入力するとリンクに変換されます。
これをアンカー(俗に安価)と言い、どの書き込みに対しての書き込みなのかを明示できます。
2ちゃんねる専用ブラウザを使うとあれこれと便利に使えます。アンカー指定先の書き込みをそこから読めたりとか。
アンカーの書き方について、以下のものがあります。
>>1
単一書き込みへのアンカー
>>1-3
.複数書き込みに対してのアンカー
■右上にある ID について
書き込み者の IP を元に零時からニ三時五九分まで、常に同じ文字列を表示します。
これにより、発言者が同じ人かどうかを「ある程度」特定できます。IP が変われば ID も変わります。共同住宅地に住んでいる人たちは同じ ID になる可能性があります。
■この掲示板は2ちゃんねるブラウザに対応しています
使ってる人は外部板登録してもらったら見易いかも?
4 :
塊素 司令
★
:2013/02/25 00:04:00 ID:VM6odaj05I
■ファイルアップロードについて
この掲示板にはファイルアップロード機能はありません。
なので、ファイルアップローダーを利用してファイルをアップし、アップロードファイルのアドレスを掲示板に貼り付けてください。
ファイルアップローダー(1ファイル 200KB まで)
ttp://hades.worlds-walkers.org/~public_space/_U/upload.html
チーム交流会以外への使用もある程度、許容いたします。
5 :
新しき交流者
:2013/03/12 21:42:00 ID:DRmYJF.o/U
>>2-4
テスト
6 :
新しき交流者
:2022/03/22(火) 23:50:32 ID:AXrMobgQ
掲示板に警告してくれた人に感謝いたします。
■状況
ぜろちゃんねる掲示板の管理機能において、操作ログ閲覧画面を開くとユーザー「kara****」(一部伏字に修正)が意図せずに作成される。
■攻撃種別
クロスサイトスクリプティング
管理者ログイン画面のユーザー名入力テキストボックスに対して悪意ある Javascript を入力。
これ自体はログインできずに失敗するが、管理者が操作ログ閲覧画面を開いた際に Javascript が実行される。
■対策
1.管理者は直ちに管理画面の右上メニューの「ユーザー」リンクからユーザー一覧を確認し、
不審なユーザーが作成されていた場合は削除すること。
2.もしも先に乗っ取られてしまった場合は直ちにぜろちゃんねるCGIフォルダのパーミッション(属性)を変更し、
掲示板を閲覧できないようにしてください。
※パーミッション(属性)はひとまず 700 (管理者のみ、読み書き実行可)にするとよいかと。
※最悪、掲示板の削除も視野に入れてください。
3.「操作ログ閲覧」画面においてクロスサイトスクリプティングを無効化する。
※プログラムの修正が必要です。即座に対策が必要な場合は自己責任で修正すること。
7 :
新しき交流者
:2022/03/22(火) 23:52:04 ID:AXrMobgQ
■対策2の修正内容
●修正対象ファイル
/test/mordor/sys.top.pl
●作業手順
1.sys.top.pl をファイルコピーしてバックアップしてください。
sys.top.pl.20220322 と拡張子を変えてしまう方法が個人的におすすめ。
2.361行目 sub PrintAdminLog 関数に移動
3.367 行目辺り(my ... という行があるすぐ下あたり)に以下の関数を追加
# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
my $sanitize = sub {
$_ = shift;
s/&/&/g;
s/</</g;
s/>/>/g;
s/"/"/g;
return $_;
};
# ▲ 2022/03/22 {修正者名}
⇒[解説]
クロスサイトスクリプティングで必須の &、<、>、" の文字列を置換して無害化します。
$sanitize 関数自体はぜろちゃんねる CGI の中で使用されているロジックをコピペしてきただけ。
心配でしたらファイルを grep 検索してみてください。
4.修正前でいうところの 404 行目「# ログ一覧を出力」のコメントを探す。
その下に記述されているロジック、
$elem[0] = GALADRIEL::GetDateFromSerial(undef, $elem[0], 0);
の下に以下のロジックを追加。
# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
$elem[1] = &$sanitize($elem[1]);
# ▲ 2022/03/22 {修正者名}
5KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
名前:
E-mail
(省略可)
:
READ.CGI - 0ch+ BBS 0.7.5 20220323
ぜろちゃんねるプラス