Mixi主催のScrapChallengeって大会行ってきたよ! しかもなんかダントツ優勝したらしいよ! Mixiのクローンサイトにアタックを仕掛ける楽しいイベント。 面白かったので自分のプロフィール画面に蒸気機関車走らせたり、懐かしのmarqueeタグを突っ込んでふざけたりしてました。 前者はXSS見つけた部分にSL.JSを仕込んで走らせてます。 真面目な感想を述べさせてもらうと、 「入力されたデータは一ミリも信用するな!」 来年も開催された場合も考えるとXSSとかのバリエーションってあまりたくさんあるわけでもないから、具体的な問題については触れないでおきます。 ただ、例えばXSSなんてものは、ユーザーが入力したデータを出力する場面では絶対にエスケープしましょうとか基本的なことなんだけど、それを出来てない会社さんも多かったりします。 実際僕が悪ふざけ半分おせっかい半分で知り合いのサービス