Skype×Skype

スカイプ友達募集掲示板「Skype × Skype」(スカイプスカイプ)って言うのを丸一日かけて作りました。

見ての通り、出会い系の掲示板です。

スカイプちゃんねるがメンテ中となり、Skype用の掲示板がなくなったので、似たのを作ればアクセスが稼げる! と聞いたので。

僕はいつも通りコーディング全般をし、デザインは提案者にしてもらいました。

ちなみにサーバーはこのブログにも使われてるサーバーです。

あとで調べて分かったんですが、やはり競合が多いです。

アクセス稼ぐには宣伝が必要ですね。

ちなみにスカイプちゃんねるは、絶賛売却中です。

たぶんあと4日で復活するので、それまでしかアクセス稼げないでしょうね。

広告をクリックしてもらうと僕の買い食い代に変わります。

僕を太らせたい方は是非。

3月25日

ねーもオフ

@ok_namo が彼の高校の甲子園の応援のため、関西に来ていたので神戸案内をしてました。

他に 「 @yushipon と @mgmgkzm 」 が参加していました。

案内と言っても、どこに行くかも決まらないので、@mgmgkzm を観光しながら南京町とかぶらぶらした。

@mgmgkzm が医者を呼ばないといけないぐらい @ok_namo に興奮して大変だったけれど、いろんな意味で打ち解けたしよかったと思う。

関西の洗礼ってこういうことですかね。

春期講習最終日

KY生の巣窟である高等進学塾(高進)で英語を一週間勉強していました。

塾のために西宮北口に行くと、ジュンク堂につい寄ってしまうし、同級生に会ってしまったりしてつい時間がなくなってしまう。

恐ろしい。

この日は同級生と、塾の講師を探索したり、@asi1024 の自宅の場所を教えてもらったりしてました。

楽しいけど時間がなくなる恐ろしい場所です。

空手最終日

ほんとは先週が最終日で、先週は後輩に半泣きされつつ別れたんですが、今週も来てしまい、なんとも言えない空気でした。

長居できそうにもなかったので、スポーツ保健の代金と、この日はプレゼントがもらえる日だったので、それをもらって帰りました。

今年はロゴ入りタオルとお菓子でした。

なかなか豪盛です。

第22回まっちゃ139勉強会+セプキャン・キャラバン in Osaka

まっちゃ139 Hiki – 第22回まっちゃ139勉強会+セキュリティキャンプ・キャラバン in Osaka

Togetter – 「第22回まっちゃ139勉強会+セキュリティキャンプキャラバン in Osakaの参加者によるTweetまとめ」

もう10日以上前の話にはなるんですが行ってきた報告をちょろりと。

地震が原因で講師の方々がこれなくなり、開催されるかどうか不安でしたが、無事開催されました。
よかったです。

僕は定期考査中にも関わらず、その日の試験が終わってから直行しました。
場所は関学の梅田キャンパスで、普段なら道に迷うところでしたが、実は一週間前に訪れていたので建物まではなんとかなりました。

関西学院さんありがとうございました。

講演内容は地震の影響で急遽変更となり、園田さんが二つ、はせがわさんが一つ講演をしてました。

LTはセプキャン生(pastak)のその後とか、もりよしさんのPHPネタとかで盛り上がってました。
その場でプレゼンを作って発表している方もいました。すごい。

あと、ハッカージャパン一月号いただきました。
セプキャンCTFの解説記事がありーの、ucqさんの記事がありーの、ajalaboxたんのコメントがありーので、セプキャン臭がプンプンしますよ!

まっちゃ139では今回初めて懇親会に参加しました。

いやー楽しかった。

今回はセプキャン生が数多く出席してました。
これぞセプキャン生の結束力?

最後に、関西学院さんありがとうございました。

Redmine設置した。

なんとか設置できたものの、時間がかかったのでそれの記録。

まず事前に必要なものをインストールする。

sudo apt-get install rubygems
sudo apt-get install ruby
sudo apt-get install git
sudo gem install rails
sudo gem install heroku
sudo gem install sqlite3-ruby

と、ここでエラーが出て、どうやらsqlite3がインストールできないことが分かるが無視して続行

しようとするが、herokuコマンドが見つからない状態にあったので、

ruby on rails – Gems and Ubuntu 9.04 – Stack Overflow

の通りにしてみたところうまくいった。

gem environment
export PATH=$PATH:/var/lib/gems/1.8/bin

これで大丈夫だろうと続けてみるが、やはりsqlite3がないと「heroku db:push」で詰まるようだ。

extconf.rb:3:in `require': no such file to load — mkmf (LoadError)
[雑ログ] Ubuntu 7.04 にて gimp-ruby をインストールしようとしてあきらめた | anobota

この二つを参考に、

sudo apt-get install sqlite3
sudo apt-get install libsqlite3-dev
sudo apt-get install ruby1.8-dev
sudo gem install sqlite3-ruby

を実行したところうまくインストール完了

その後は、Redmineを簡単にHerokuに置く – komagata [p0t]の通りに

sudo gem install heroku rails -v=2.3.5 sqlite3-ruby taps
git clone git://github.com/komagata/redmine.git -b 0.9.6-for-heroku
cd redmine
heroku create <プロジェクト名>
heroku db:push
git push heroku 0.9.6-for-heroku:master

を実行し、進めていくと設置完了!
やったね!

あとでバージョンアップとかするつもり

WindowsからHeroku使おうとしてくじけた

HerokuいいですよねHeroku!

今回はRedMineをHerokuで使おうと思いまして、Windows環境からトライしてみました。
(結局失敗したため、おとなしくUbuntuから使うことにしました。)

普通はHeroku | Dev Center | Getting Started with Herokuを見ればできるはず。

とりあえず一連の流れを

rubyをRubyInstaller for Windowsを使ってインストール。

ついでにgemとかもついてくるので、すぐにrailsをインストールすることから始められる。

gem update
gem install rails
gem install
heroku keys:add

が、ここでメールアドレスとパスワードを入れたところでエラー

C:/Ruby192/lib/ruby/gems/1.9.1/gems/heroku-1.18.3/lib/heroku/commands/auth.rb:17
2:in `chmod': No such file or directory - C:Documents and Settingsユーザー名/.he
roku/credentials (Errno::ENOENT)

Windowsのフォルダのセパレータが違うのかなと思い、auth.rbに

41
	  home_directory = home_directory.split("\").join("/") if !home_directory.nil?

と入れてみたのだけども、「Internal server error」が出て上手く行かなかった模様。
うぬー。。

脆弱性の報告をしてみた

セプキャンキャラバンのUSTを見ながらとあるWebサービスを使っていたら、うっかり脆弱性を発見してしまったため、とりあえずお問い合わせフォームから報告してみた。

試験中にも関わらず・・・

特定に繋がりそうなところは隠してあります。

****を楽しく使わせていただいております。

この度、****において脆弱性があることが分かりましたので報告させていただきます。

1.
– 現象 –
「****」や「****」ページにおいて任意のJavaScriptが実行出来る。

以下のページのように「****」や「****」ページにて任意のJavaScriptが実行されてしまいます。
例:http://****.***/****
例:http://****.***/****

– 想定される被害 –
アクセスしてきたユーザーのCookieからトークンを盗み出すことにより、不正なログインが可能となります。
また、アクセスしてきた時点で閲覧ユーザーの設定を変えるなどの行為も可能です。

– 解決策 –
以下の情報を表示する際に適切なエスケープを行うことで回避が可能です。
・「****」における****と****
・「****」における、****と****
・「****」における、****と****

2.
– 現象 –
****ページにおいて任意のJavaScriptが実行出来る。

以下のページのようなURLにユーザーがアクセスすることにより、任意のJavaScriptが実行されてしまいます。
http://****.***/****

JavaScriptが****に埋めこまれている場合は、****ページなどからその****のリンクをクリックすることで上記URLにアクセスすることが起こりえます。
また、単純に上記URLに他のサイトからアクセスさせることなどでも起こりえます。

– 想定される被害 –
アクセスしてきたユーザーのCookieからトークンを盗み出すことにより、不正なログインが可能となります。
また、アクセスしてきた時点で閲覧ユーザーの設定を変えるなどの行為も可能です。

– 解決策 –
meta要素内のname属性の値にパラメータを入れているため、それを適切にエスケープすることで解決できます。

他にも、被害は起こり得ないと思われますが、****を****から閲覧した際に任意のJavaScriptが実行可能となっておりました。

以上です。長文失礼いたしました。

セプキャンでやったのを思い出して、現象と被害と解決策を書いて、お問い合わせフォームから送信してみた。
ちゃんと資料引っ張ってくればよかった。

説明難しいし、どっか足りないかもしれない。

現象の部分にURLを貼りつけたのはまずかったかもしれない。
「URLにアクセスしたら自分の情報を抜き出されるかもしれない」と警戒される可能性もあるし。。。

しかし自分の口で説明するのはどうも難しかったのでこういう方法を取ってしまった。

どうしたらよかっただろうか。。。

追記:

先ほどメールしたものです。

二つ目の現象において、以下のようなURLでも任意のJavaScriptが実行可能であることが分かりました。

http://****/***

これは、アクセスしてきたユーザーがログインしている場合に限りますが、URLにアクセスさせるだけでやはり問題は起こり得ます。

こちらからは報告しかできませんが、対応していただけるとありがたいです。

追記の追記:
追記にてURLが見える状態になっておりました。
申し訳ありません。

追追追記:
修正されてました!
ありがとうございます!

Pear

Pearからコマンドでインストールするのではなく、手動でダウンロードして解凍するときは、「解凍レンジ」を使ったほうがよい。

少なくともLhaplusだと解凍できなかった。

問題になるのはWindowsだけかな。