リンク: [ホーム] [自己紹介] [リンク集] [アルバム] [ソフトウェア] [発表文献] [その他]

まさおのChangeLogメモ / 2003-03-01

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

2003-03-01 Sat

* kanitoro

って何?

* S県月宮

http://www.wakhok.ac.jp/~yamasita/fv/may/tukimiya/
すげえ、怖ぇ。

* 平和愛好家宣言

http://hp.vector.co.jp/authors/VA015862/kamashi/social/20030220.html
ところどころ穴はあるけど、大筋で同意。

* vim2html.inc.php

http://ishii.s26.xrea.com:8080/modules/pukiwiki/index.php?%5B%5B%BC%AB%BA%EE%A5%D7%A5%E9%A5%B0%A5%A4%A5%F3%A5%C6%A5%B9%A5%C8%5D%5D
これって、 /etc/passwd 表示されちゃう気が…。

確認できないから放置だけど。。。

* pukiwiki XSS

まだあった。今度は md5。
なんで誰も気付かなかったの?

とりあえず報告。
http://lists.sourceforge.jp/pipermail/pukiwiki-users/2003-March/000072.html

とりあえず、$vars のチェックの準備に以下を実行してみた。
% find . -type f | xargs ruby -nle 'puts $1 if /vars\[([^\]]+)\]/' | sort | uniq -c | sort -nr
 109 'page'
53 'refer'
14 'msg'
14 'body'
13 'cmd'
 9 "page"
 7 'pass'
 6 'src'
 5 'method'
 5 'file'
 4 'plugin'
 4 'action'
 3 'word'
 3 'pcmd'
 3 'paint_no'
 3 'dst'
 3 'digest'
 3 'begin'
 2 'yourname'
 2 'related'
 2 'md5'
 2 'inter'
 2 'age'
 2 $_age
 1 \'page\'
 1 'width'
 1 'type'
 1 'prefix'
 1 'p'
 1 'original'
 1 'height'
 1 'filename'
 1 'exist'
 1 'date'
 1 'category'
 1 'add'
 1 $var
 1 $age
 1 "msg"
 1 "mode"
 1 "date_sep"
 1 "date"
 1 "body"

* masao@users.sourceforge.jp

何かで必要になることもあるだろうと思ったから、masao アカウントをも
らっておくことにして、ユーザ登録した。

masao@users.sourceforge.jp は自動的に登録したアドレスに転送してく
れるらしい。