先日あった、ケビンほにゃらら氏によるセミナー。いえセミナーがどうこう言うわけではないのですが。
申し込み用のWebがあってたわけですよ。まぁほぼ何も考えずに、とりあえず一端、「<A href="">test</A>(本当は全部半角ね)」とか入れてみるわけですよ。
………XSSバリバリに存在してるってどうなのよ orz
いえまぁご連絡は差し上げたんですがね。そのPageの多分担当会社様と思われるメールに対して。
善処させて頂きたいと存じます。ありがとうございます。
という素敵に簡素なメールを頂戴した後…少なくとも一週間後には「XSS残りっぱなし」だったなぁとかいう記憶が、ええ。
ちなみに。同じ会社さんがやってる「別のPage」でそのまんま「今でも」XSSが残りっぱである事を考えると、きっと直前まで以下略だったのでしょう。多分。
いくら「ソーシャルハッキング」な方のイベントとは言っても。こんな「一年生坊主がしでかしたレベル」のホールが残りまくそってのは如何なモノかと思うんですがどんなもんなんですかねぇ。
っつか。
エスケープの処理ってそんなにコスト高いのかしらん?
相も変わらず思うのですが。…こーゆースキルレベルの連中が群れなしてるから、SQL-Injectionとかがはびこるんだなぁとかなんか妙にしみじみly。