Hatena::ブログ(Diary)

night and sundial

4月20日 (2005年) 記す

はまちちゃん関連

恐がりさん経由でやじうまWatchからたくさん人がくるよう怖いようとか震えてたら今度は小島さんとこに貼られてしまうました! いやーん。まとめサイト的には↓のWikiのほうがまとまっていると思うマス!

mixi/ぼくはまちちゃん! - BtD: Wiki

というかVer 3.0も対策されたけど、余波で同じ仕組みの良心系お楽しみギミックも動作しなくなったもよお。

おみくじスロット

「まちちゃん」ではなかった件について

そいからとあるmixi日記コメント欄にて

ぼくは まちちゃん だと思ってるやつが多いらしいwwwwwメラワロスwwwww

ここ、ジオシティーのアカウント見て「はまち」ってなぜわかんないんだろう

などと指摘されてしまうました。すまん。気が付かんかった。つか今回のことで一番収穫だったのは“VIPPER”っつー属性があるっちゅうことをようやく知ったことです。ありがたやありがたや。ここ最近すっげ見かける「*ワロス」系のタームはここんちから出自っつーことでええのかね。

追記 [4/21 13時]

児童小銃さんによると

追記: 21日 1:00 AM 現在

  • ××に関してはまだ対策されていません。

だそうです。

え?「はまち」ちゃんなの?

はまちちゃん関連で思ったこと - おれはおまえのパパじゃない

“I am MACHI-CHANG”なのかと思ってたっす。

あと「【日刊】mixiニュース」というコミュニティで“「ぼくはまちちゃん」ウイルス”というタイトルのトピックが立ってて、それはまあまだいいんだけど、そこで「ブラクラ?」とか言ってるひとがいるのにも萎いますた。お前はこの程度でクラッシュするブラウザを使ってるのかとどこのブラウザかと小一時(ry

http://mixi.jp/view_bbs.pl?id=852322

追記〜[4/21 13時]

emptyさんによると

そんで一個上のディレクトリに行ってみてほしい。indexページね。

ていうかあたりまえだけどページ閲覧は自己責任でねっ!

ってこれブーンのブラクラじゃんっwwwww

だそうだすた。

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ

昨日書いた「まちちゃん!」トラップがバージョンアップ(ver 3.0)したもよお。以前のは日記を書き込むためのCGIへの引数付きのリンクがそのまま貼ってあったんだけど、今回はサイトを経由させるようになってて手が凝っているもよお。mixiの対策としてはリファラとかチェックするのかなあ。詳細は以下など参照。

http://d.hatena.ne.jp/kowagari/20050419/1113897459

http://d.hatena.ne.jp/mixi_love/20050419/p1

なお“CSRF”というのはキーワードによると(つかこのキーワードも全部引用だけど)

"Cross-Site Request Forgeries" の略で、要するに「編集」「削除」などのコマンドを実行するような URL を踏ませる攻撃です。

さて、以下が問題の日記。

http://mixi.jp/view_diary.pl?id=14656767&owner_id=259617

mixi入ってないひとのために解説すると、「【発見】 mixiの裏技」なんていう2ちゃんねる風の見出しで「オイオイ、すげぇぜ…」って煽りでURLが一個貼ってある。当然URLエンコードされているのが、ウェブ検索で見つかった適当デコーダーで展開するとこんな風になる。

http://www.google.com/url?sa=D&q=http://www.geocities.jp/hamachiya_xxx/h.htm

一見Googleだけど、これはただのリダイレクター(Googleにそんな機能あるんだ?)なので、けっきょくは“q=”以降のURLに飛ばされる。

http://www.geocities.jp/hamachiya_xxx/h.htm

このHTMLにはこういうフォームがあって、これをJavaScriptで自動クリックさせてるという仕組みのもよお。JavaScriptのことはよくわかんないのでのそっちは詳しいひとにまかせます。

<form name="Hamachiya3" action="http://mixi.jp/add_diary.pl" method="post">
<input type="hidden" name="submit" value="confirm">
<input type="hidden" name="packed" value="">
<input type="hidden" name="diary_title" value="ぼくはまちちゃん!">
<input type="hidden" name="diary_body" value="
こんにちはこんにちは!!

http://mixi.jp/view_diary.pl?id=14656767&owner_id=259617
"><input type="submit" value="" id="gogo" style="width:0px;height:0px;">
</form>

つか、こんなあからさまに怪しいURLを何百人と踏んでるというのがまずおかしい。日記全削除トラップとかだったらどうするつもりだったんだろう? 世間の脆弱性リテラシーはまだまだこの程度のようですよ>id:sonodamさん

キーワード作ったのに自動リンクされない!

された*1。ちょっとタイムラグがあるのかー。

*1:のでここに書いてあったリンクテストは削除

sonodamsonodam 2005/04/21 03:11 踏んで痛い目を見たほうが、学習効果は高いんじゃないすかねーヽ(´ー`)ノ>全日記削除とか。

mohrimohri 2005/04/21 13:09 わーい。さすが園田さんはいいことを言うなあ。わらい。