KENT WEB 総合スレ Part2
KENTは他人のソースを見て勉強しろとか本に書いていたが、
是非自分でそれを実践して欲しい kentwebのcgiってアドセンス埋め込んで使っても無料?
てかいいのかな?
おせぇてハイパーエロい人! ヽ(`(`(`(`ヽ(`Д´)ノ ウワ・ウワ・ウワ・ウワ・ウワアァァァン!! ま、アレだ。
自分で書くのマンドクセェsubなんかをいただいて使うのが、
正しいKENTの使い方だな。 初心にかえる時なんかもKENTのスクリプトを眺めてみる ttp://www.securityfocus.com/archive/1/406917
一瞬えええとか思っちゃったw 買い物カゴ(クッキー付き)をテストページに設置しました
注文も問題なく出来るがメール受信がおかしい
注文者と当方とそれぞれ注文確認メールが行って欲しいのに2通ともこちらに来ています。
(注文者に確認メールが行っていない状態)
これはどの部分がおかしいのでしょうか、教えて下さい。 第三者にレンタルしなければ事業者登録なしで
広告バナー貼ってもいいんですかね?
個人ならいいと“思う”って↓に書いてあるけど本当?
ttp://www.kent-web.com/support/old/47/0056.html datファイルが公開状態になってそうな気がするけど、大丈夫? デフォのまま使ってたら丸見えかもしれんね。
名前変えるとか拡張子変えるとかしないと。
ま、鯖がsuExec導入してなかったら何やっても無駄だが。 なんか、その辺の注意書きもなしに、買い物カゴCGIとか配布してるけど、
問題は起きてないのかな。設置側も分かってはいるんだろうが。 KENTの2ちゃんねるCGI
レスが100までなんだけど
どうしたらよいざまそ? xreaでkentwebのフォームメールつかってるんだけどさ。まさにkentのことっぽいんで相談します。
一部で配布されているフォームメールのセキュリティホール、
脆弱性を突いた大量メール送信行為が多数確認されております。
同行為が確認された場合は、一旦アカウントを停止させていただきます。
こちらで調査いたしましたが、問い合わせ者からの送信されてくるデータのチェックが甘いことにあります。
・入力データの文字列の長さのチェックをしていない等が、大抵の原因となっております。ご注意ください。
確かにこれ文字数の制限がないんです。このフォームメールに
文字数制限かけるにはどうすればよいのでしょうか? >>420
ToやらCCやらに渡されるメアドの個数チェックして、
IPで連投チェックとBBQでも入れりゃ良いんじゃね?
プログラム見てないからわからんけど。 >>423
俺のアカウントは凍結された。今このあらし多いみたい。
具体的にやり方教えて頂けないでしょうか?
KENTCGIに脆弱性見つけた場合ってどうすればいいの?
何か謝礼金とか貰えるの? 脆弱性が無いスクリプトがあったんだ。知らなかった。 ちなみに、パスワード関連のCGI。
ソース見れば分かる。使ってる香具師は使用中断した方が良さげ。
致命的にゃ。 >>427
最近勉強始めたのか知らないけど、
use strictしてない時点でkentのコードは悪い見本で有名。 strictは別に他にもしてないスクリプトあるし、別段突っ込もうとは思わないけど、
(自分で組むときはstrict, warningsは必須だけど)
パスワード関連のCGIで自由にユーザ追加が出来るのはどうかと思う。 strictはリリースする時に消せばいいんだよもん。
でも書いた時に>>431になるからいけないんだよもん。 strictバージョンで再配布したら使う?
というか、そういうサイトないのかな? 動きゃいいんだよ。
どーせPerlの起動の方が時間かかるんだしさ >>439
>>426
問題の無いスクリプトのほうが少ない http://www.tk2.nmt.ne.jp/~yosi/cgi-bin/rinku/cruiser.cgi http://www.kent-web.com/data/postmail.html
これの脆弱性には呆れたよ。
KentはCGI制作業もやってるんだろ・・・。
こんな素人がやるようなミスをおかすなと。
1. Perlのソースが汚い
推奨されていないことも平気でやるわ、コーディングの質も悪いわ、
タブやインデントの入れ方も汚い、use strict すらしていない。
こういうのがセキュリティホール、実行速度低下、バグの原因になる。
2. 出力するHTMLのソースが汚い
W3C準拠が望ましいのは勿論だが、そういうレベルじゃなく汚いね。
例えば、テーブルにボーダーをつけるためだけに、そのテーブルを色つきのテーブルで囲っている。
CSSを数行追加すればボーダーぐらいできるのに、テーブルで囲ったりするから、
ソースは汚くなるわ、容量は大きくなるわ、第三者が修正しにくくなるわでめちゃくちゃ。
KentのCGI修正しようとするとこの汚さでストレスがたまる。
しかも、コーディングルールを決めていないせいか、インデント、タブが適当なのはもちろんのこと、
ダブルクオートやシングルクオートも使ったり使わなかったりでめちゃくちゃ、修正時に自動置換するなどのことができなくなってる。
3. パスワードをCGIに直書き
管理用のパスワードをCGIに直書き、非常にレベルが低いとしか言いようが無い。
そもそも、CGIが保存するデータはWebサーバのドキュメントルート外におくべきだ。
実害がないとかほざくかもしれないが、サーバの不具合でCGIのソースが見えてしまったりすることもある。
過負荷で処理できない場合や、動作するCGIの拡張子を変えた場合などに見えてしまうかもしれない。
ドキュメントルート内に見られて困るデータを置くこと自体が間違えなんだ。
これは少しでも業務でWebプログをやったことがある人にとっては常識だと思う。
(勿論、他の方法でセキュリティ対策していればいいが、Kentは拡張子がcgiだから問題ない、といった低レベルな理論を主張しているだけ) 前XREAで話題になっていたのはKentのやつだったのか。
>>442
消えても流出しても困らないような情報しか扱わない人向けってことだよ。 自分も最初はkentのフォームメールの批判してたけど、今は悪かったと思ってる。
どこのスクリプトも探してみるとやっぱり悪いとこはあるよ、きっと。
嫌なら使わなければいいしね。442さん説明ありがとう。 >>445
だいたい、メール送信するだけのCGIぐらい自分で作れよ
xreaからのアナウンスを引用:
| ・送信されてくるデータの改行コード「\n」を削除、もしくは、エスケープせず、そのままsendmailに渡している
| ・入力データの文字列の長さのチェックをしていない
| ・問い合わせ者のメールアドレスの入力データの文字列に[,]が含まれることを許可し、かつ、自動返信している
http://sb.xrea.com/showthread.php?t=10113
このうち2番目の長さチェックは本件とは関係無いし、こういったセキュリティ対策は推奨しない。
http://pcweb.mycom.co.jp/articles/2005/07/12/wasf/
> 高木氏はこれについて「『サニタイズ』はろくな対策をしていないことを一言で表現できる便利な言葉であり、現在『サニタイズって言うな』キャンペーンを行っているところ」と不満をあらわにした。
ようするに、「メールアドレス欄を50文字までに制限すれば、100個も200個もカンマで区切ったアドレスを入れることは出来ない。」というとんでもない理論。
こういったコーディングは美しくないし、長いメールアドレスを利用したい人が困る。
「,」や「\n」などのエスケープを行えばそもそも防げたはずだ。
Kentもこのエスケープをしなかったのがセキュリティホール。
あとついでに、自動返信だと返信先のメルアドを利用者が任意に指定できるわけで、
1回のPOSTで1件迷惑メールを送信することがどうしても可能になるよね。 sendmailだけにしかセキュリティホールがあったと思ってるのだろうか ほとんど詐(ゲフン
まあ有料サービスを受けてる人がフリーソフトに切り替えることを
思えば安いもんだよ、うん 知り合いの掲示板で広告を削除したら全てのレスが1つのスレッドになってしまうという
現象が起きたのだがそんなバグ知られてる?
バグではなく、変なソフトで書き込みされて、改行コードとかおかしくなるんじゃないの。 >>452
確かにここ1ヶ月ほどマルチ広告攻撃にあっているので「変なソフトで書き込み」は大量に
されてます。
> 改行コードとかおかしくなるんじゃないの
そんな感じですね。 しかしそういうことが起こらないようにスクリプト側で
対応するべきですよね。
>>453
あともう1つの症状としてpastno.datがリセットされて番号が1にもどっちゃうんです。
これも困りますね。 KENTのを使うのをやめれば全て解決するんだけどね。 >>455
YYBBSから乗り換えるのにお薦めの軽い掲示板って何か定番ありますでしょうか?
>>456
軽い、かなぁ。もっと書き込み隊とかちょっと機能増えて似てるメジャーなスクリプトだと思う。 サポート掲示板で便利なパッチ見つけたので張っとく。
yybbs.cgi 設定項目に追加
# 多数のURL書き込みを禁止する
# 3に設定すると、http://〜を4以上書き込んだ場合は投稿不可
$ngurl = 3;
ログ書込処理サブルーチンに追加
#----------------#
# ログ書込処理 #
#----------------#
sub regist {
®ist_check;
#▼ここから▼
$j = $in{'comment'};
&jcode'convert(\$j, 'euc');
if ($j !~ /[\xA1-\xFE][\xA1-\xFE]/) { &error("不適切な投稿です"); }
if ($in{'url'} && $in{'comment'} =~ /\Q$in{'url'}\E/i) { &error("不適切な投稿です"); }
$urlnum = ($in{'comment'} =~ s/http/http/g);
if ($urlnum > $ngurl) { &error("不適切な投稿です"); }
#▲ここまで追加▲ ↑このパッチは
1) http が $ngurl以上本文にあると拒否
2) 本文が英文のみだと拒否
3) URL欄と同じURLが本文に表れたら拒否。 YY-BOARDで2chのAAがずれないようにする事は可能でしょうか? 某匿名画像板に晒されていた機能的にどうよ?
KENTと同じで遊びで作っていて自称スキル無しらしいけど
http://f20.aaa.livedoor.jp/~wahaa/protection/yybbs/yybbs.cgi
>サポート掲示板で便利なパッチ見つけたので張っとく。
レベル低杉
つか、約2名の押し売りウザー 数日前からYY-BOARDをねらったマルチポストがはびこってるな。
cgiをリネームするのがてっとり早いか。 >>463
一応、461のスパム対策で自動スパムと手動は禁止ワードで防げている
板に直倫で来る客が多いからリネームとかしていないけど
KENTのサポ板に出ていた対策や新たに紹介されたスパム回避は客からのクレームが多かったよ
多分、串対策と不正投稿の対策が今のところ効いているのだと思う >>464
すみません >>461の見れないのですがどういう対策でしょうか? sendmailの件で自スクリプトのセキュリティはしっかりしてると思わせるために、
kentが自演して攻撃してるとか >>465
アドレス削れ。某双葉系みたいなので分別汁
KENTは俺からすると初級〜中級序盤までの訓練教材としては良い物だとは思う
中盤までに清書と添削の教材としてスキルアップ利用すると面白いとは思うけどな
が、慣れてしまうとド壷に填り癖になりキッチリした書き方ができなくなる諸刃の剣。
他を見て吸収しないヒキコだと余り関心しないように育ってしまうんだよな…
ま、遊びでスキルの押し売りせず自分だけで遊ぶとか線引きし自覚していれば良いのだけどね。 >>467 ボケててすみませんでした。 見れました。
>>464
串対策は苦情出ませんか? 昔大会社で働いてた時は外部には会社の串を通してしか
アクセスできなかった。 他の不正投稿の対策は全部使っているのですか?
URL欄廃止は面白いですね。 確かに無くても客はあまり文句を言わないかも、で
それがあることを前提としているスクリプトは跳ねられそうですね。 今のところこの
欄を埋めないのは見たことが無いですね。
>>468
全部は使っていない実装だけして飾りにしてある
実験したらICONとURIの不正チェックが、かなりイイ感じに効いているみたいです
串に関しては、串通す客が少ないのでクレームは無いですね
串通してもアレなら使える串はありますし、主要な串を押さえていると思う。
串のルーチン下に特定ホスト見て$denyを0にして通してやればイイんじゃないの?
いつの間にかサンプル板の改造が芳ばしくなっている件についてw どのような対策でも結局&errorを読んでますよね。 あれの出す”ERROR!"ってひょっとして
宣伝プログラムに検知されている可能性ってないでしょうか。 やる立場としてはそれを
検出して新しい対策をしたほうがいい訳ですから。
これひょっとして
投稿は正常に処理されました >>470
すまん、切れてしまった。
…これはひょっとして
投稿は正常に処理されました
というのはうそでエラーでした
というメッセージを出したら、正常に書いたと思って同じ手段で書き込み続け、
同じアルゴリズムで拒否し続けられるのでは? >>470-271
>宣伝プログラムに検知されている可能性
無いと断言する。
不特定の板を設定しオートで流すのに専用ブラウザを作り
エラー情報の文字まで検索し取得対策するなんてありえない。
というか、このスレとは無関係な話題が続いているがイイのか? KENT WEBのPostMailで質問なのですが、確認画面の項目の一番下に
送信:確認画面へ
という、ボタンの値まで表示されてしまいます。これを消すにはどうしたら
良いのでしょうか? KENT WEBのPostMailを使うのは勇者だな
使っていない俺からすると何を言いたいのかわかんねーけど
アドレスの類とは思うが、見える事に何か脆弱や不都合でもあるのか?
あるなら的確に簡素に伝えるようにのべよ。
もしくは、素直にKENT WEBのサポ板に行くがよい 欲しくない人に送れるメールよりも、欲しい人が登録して使うRSSが便利。 >>458
早速導入した。
dクス。
ちなみに、Web Patio に導入する場合にどうすれば良いか書いとくな。
新規投稿用には、
sub regist {
local($sub,$key,$flag,$i,@top);
の次あたりに、
修正投稿用には、
if ($in{'job'} eq "edit2") {
のあとのパスワードチェックが終わったあたりに次のコードを追加すれば良い。
# スパムフィルター
$j = $i_com;
&jcode'convert(\$j, 'euc');
if ($j !~ /[\xA1-\xFE][\xA1-\xFE]/) { &error("英文のみの投稿は禁止ですよっと。"); }
if ($in{'url'} && $i_com =~ /\Q$in{'url'}\E/i) { &error("URL欄とコメント欄に同じURLはスパムとみなします。"); }
$urlnum = ($i_com =~ s/http/http/g);
if ($urlnum > 4) { &error("URLが多すぎます。5個以上あったら駄目です。"); }
>>476
客のことを何も考えていない対策だから
客からクレームくるぞ?>>461の改造にして桶 >>477
そのURLが「掲示板もしくはページが見つかりません」になって見れないんですが
http://f20.aaa.livedoor.jp/~wahaa/protection/001/spamer.php
これでしょうか。
自分の掲示板に来るスパムは458の改造でほぼ全て防げました。
http://f20.aaa.livedoor.jp/~wahaa/protection/001/spamer.php のも一般的には良い方法なんですが
ブラウザの言語設定、検索エンジン弾き、プロキシチェックはまともな利用者が引っかかる
(アクセスログを見た結果、会社・学校経由と思われる人がこのチェックで引っかかることが確認できた)ようですし、
スパムが酷くならない限りこのままでいこうとおもいます 一般的な利用の板は>>461の改造で桶だが
2ch系や会社や学校からの利用の板ではダメなんだなっと
串に関しては設定しないとか拒絶回避を仕込めばいいんじゃね?
ま、客の利用とか好き好きだけどね。
関係ないがサンプル板がまた一段と芳ばしくなっているなw サポート掲示板って何処にあるの?
リクエスト掲示板のこと? >>458
この改造スゴイわ、スパム1日30件ぐらいきてたスパム住処だったのに。
今は1日に3件になった。普通の書き込みは今のとこ問題なし。 >>484
つーかさ、この古くからある手法を今更有り難がるなんて、よほど視野が低い奴等なんだろうな。
好みだが頭でlocal();を指定してやるが良い
対策箇所のみをeucにする自体で根本的に何か間違っている気がするし
URI欄を見るなんつーのも不思議でならないズルポンの普通のテキスト欄と同じなのに。
対策つーて、これみよがしに書かれているのは全部どっかで書かれている物だったりするんだが
笑える話だが視野が狭いと鞭故に神のように崇拝するんだよな。 >>485
視野が狭いとこんなに無駄に長い文章になるものなのか 484が喜んでるんだから、いいだろ。
そこまで言うなら具体的にやり方教えてくれ。 YY-BOARD使ってるんですが
http://www15.tok2.com/home/sumire110/index.html
この方の配布している風にひみこーどを追加したのですが脆弱を発見してしまいました。
その為に履歴を残さずに投稿しようとしたのですが上手く出来ません。
http://www.yoshiro.com/js/kako4.html
このJavaScriptを使おうかと思います。
ですがtype="submit"だと無効になってしまうみたいで・・・。
何か良い方法はないでしょうか? >>489
へー、こういうのが本職だったのか。 社会保険労務士さん。
http://e-sharoshi.com/ >>479
もっと最適化できそうだけど、コロンブスのような案は凄いな
隙間埋めと詰めが素晴らしいと思ったよ
スクリプトとしては小汚いが補うのは各自と考えれば良い物だ
マネした対策配布物が出てきそうなくらいだ >>458
遅レスですみません。
PetitBoardの場合はどうしたらいいですか? >>493
>>458に何が書いてあるのか判れば自ずと分かるだろう >PetitBoardの場合はどうしたらいいですか?
1) 三日三晩華厳の滝に撃たれて祈ってみる
2) 願いが叶うという7つのボールを探しに旅に出てみる
3) 大声でパーマン助けてー!!と家の近所を3週してみる
4) 本屋へ逝きエロトピア下さい!と奇声をあげて買ってみる
5) 困ったときは最寄りの役場で相談してみる
6) ググル
7) PCを窓から捨ててみる
8) 出来る限り多くの人に聞いてスキルアップの情報収集の為にも至る場所でマルチポストしてみる
9) 正露丸乗せコーラかけごはんを食べてから、もう一度考えてみる
10) DOS画面 format C: と書き y ボタンを押し ENTER ボタンを押してみる
全部試せば、高確立で質問の内容は考えなくても良くなるはずです。 >>495
どこかで笑わなきゃだめですか?
お宅臭い しかし、KENT信者は直ぐ解る事を調べも勉強もせずに丸投げするんだな
例え初心者でも10分で解る物なんだが
YYBBSの中身見て、PetitBoardの中身見て照らし合わせる事もしねえ猿以下なんだな
しかも、陰気に逆ギレ。>>495カワイソス
腐ってるKENTスレでも「WEBプログラミング」板だからな、少しくらい調べたり覚えような>>496 >>497
すみません、私はプロのWebプログラマーですが
Kentの汚いソースは見るだけでいらいらしてキーボードを投げつけたくなるので
30秒以上見ないようにしているのです。
従ってすぐにコピペできるように何処をどうすれば良いか教えていただきたいと思います。
汚いなら使うなよ
改造するまでもない、自分で作るか他にしろよ悪いことはいわねーから
小学生かな?素直にKENTサポ利用しろよ > すみません、私はプロのWebプログラマーですが
アイタタタタタ(ノД`) >>479
直で行ったら謎の無職ページに飛ばされたぞw
プチボードのログをYYBBSに移すことは出来ませんか?