1196 :◆GJqHb/ftm2 08/05/20 05:43 ID:qoWc,,JY_S (・∀・)ｲｲ!! (-3)

【皆様へのお願い】

XSS (Cross Site Scripting) と呼ばれる脆弱性を利用してしまった者です。

コッソリアンケートβのシステムでは、「だめぽ…」が一定数集まると、当該記事が完全に読めなくな
ってしまいます。できるだけ多くの被害を受けた方に対してお詫びしたいと考えているので、私の記事
を不快に感じた場合等に、当該記事の「だめぽ…」を押さずに、23105 の「だめぽ…」を押してい
ただけると幸いです。（このアカウントではお詫びや状況説明以外を目的したアンケート・記事の作成
は行ないません。）
皆様にご迷惑をお掛けした立場でこのようなお願いをして申し訳ありませんが、ご理解・ご協力いただ
けたら幸いです。

1197 :◆GJqHb/ftm2 08/05/20 05:46 ID:qoWc,,JY_S (・∀・)ｲｲ!! (3)

【脆弱性を利用しているリンクをクリックしてしまった方へのお詫び】

私が XSS (Cross Site Scripting) と呼ばれる脆弱性を利用して、皆様の大切なモリタポを奪ってしま
い、申し訳ありませんでした。

最終的には、ブラジル社がモリタポ送付の取り消しを行なったことにより、脆弱性を利用しているリン
クをクリックしてしまった人の所にモリタポが戻りましたが、皆様を不安・不快な気持ちにさせてしま
いましたことを、心よりお詫び申し上げます。

また、23110 という被害に遭った方を挑発するようなアンケートを作成してしまったことに関しま
しても、深くお詫び申し上げます。

コッソリアンケートβが、「２ちゃんねる」という釣り・煽り・ネタ等が比較的許される風潮にあるド
メイン内のサイトであることから、モリタポをお金を出して買った人、苦労して集めた人がいることも
忘れて、ニュー速VIP等の掲示板に釣り目的のスレッドを立てるのと同様の感覚で、これらの行為を行な
ってしまいました。

当該アンケートを作成した当時の心境について、時系列に、説明させていただきます。

(1) コッソリアンケート上のXSS脆弱性を発見した。
(2) 「XSSを利用して釣り行為をやってみよう」と思った。
(3) 「モリタポ乞食集まれ！」 (23065) に 23065/11 を投稿した。
(4) モリタポが送られてきた。
(5) 釣り行為を目的として、XSSを利用したアンケートを作成した。
　　この時点では、トリップを用いたモリタポ送付と同様に、モリタポが送られてきても、「モリタポ
　　の回収処理」を行なわなければ、自動的に送付者のもとに戻ると思っていた。
(6) モリタポ通帳に凄い量のモリタポが届いていて驚いた。送信元にモリタポを返却する処理をこちら
　　から行なうことができなかったため、モリタポ送信元にモリタポを戻そうと、モリタポばら撒きア
　　ンケート 23107 [[2
…省略されました。全部(1,399文字)読むにはココをクリック。

1198 :◆GJqHb/ftm2 08/05/20 05:49 ID:qoWc,,JY_S (・∀・)ｲｲ!! (0)

【未来検索ブラジル社へのお詫び】

私が XSS (Cross Site Scripting) と呼ばれる脆弱性を利用したことにより、多大なご迷惑をお掛けし
てしまい、本当に申し訳ありませんでした。

心よりお詫び申し上げます。
皆様からご指摘いただいた通り、悪戯で許される範囲を明らかに逸脱していました。

モリタポばら撒きアンケートによって第三者に配られ、取り消し処理が行なえなかったモリタポを現金
で購入した場合にかかる費用 37990円 (※1) と、モリタポ送付の取り消し処理にかかった人件費等の損
害額に関しましては、全額賠償させていただきたいと考えております。

今回の件に関しましては、深く反省しており、今後は絶対に同様の行為を行ないませんので、どうかお許
しいただけたら幸いです。

本日中に、お問い合わせフォーム http://moritapo.jp/form/mail.php?id=contact より、差出人
「moritapo_xss@yahoo.co.jp」で、お詫びのメールを送らせていただきますので、ご確認いただけたら幸
いです。

多大なご迷惑をお掛けして、本当に申し訳ありませんでした。


※1
下記のように計算しました。
もし、計算に誤りがあれば、ご指摘下さい。
23107 … 500(モリタポ) × 280(人) ＝ 140000(モリタポ)
23108 … 2000(モリタポ) × 100(人) ＝ 200000(モリタポ)
23110 … 30(モリタポ) × 280(人) ＝ 8400(モリタポ)
23112 … 500(モリタポ) × 63(人) ＝ 31500(モリタポ)
合計 … 379900モリタポ

1199 :◆GJqHb/ftm2 08/05/20 05:53 ID:PyIGIl3J9y (・∀・)ｲｲ!! (-1)

【コッソリアンケートの脆弱性について】

皆様にご迷惑をお掛けして申し訳ありません。

23110 という被害に遭った方を挑発するようなアンケートを作成してしまい申し訳ありませんでした。
当該アンケートに書いた挑発文章は本心からのものでは無く、釣り感覚で書いてしまったものです。

今回行なってしまった行為は、後から冷静に考えてみると、「悪戯」や「釣り」では済まされないものであり、
行なった行為について深く反省しております。

さて、当該アンケート中に書いた「10個以上の脆弱性」と、その他の自分が知った脆弱性の内容に関しましては、
今後悪用されることのないよう、お問い合わせフォームを使って未来検索ブラジル社に連絡し、今後、私自
身がそれを悪用したり、詳細や攻撃方法等を第三者に内容を開示しないことを誓います。

下記の内容がそれらの概要ですが、既に対策が行なわれているものや実際には悪用できないもの、悪用さ
れたとしてもたいした問題が無いものが含まれているかもしれません。(動作より推測したものや人から
聞いたものも含まれています。)

[以下の概要は、悪用防止のため、あえて内容が分からないように書いています。
未来検索ブラジル社のフォームに送信する情報 (現在作成中) には、詳細を記載します。]

(01) モリタポが無い状態でモリタポが贈与できる脆弱性 (検証により更に迷惑を掛ける訳にはいかない
　　　ため本当にできるかは未検証だが、この脆弱性がある可能性が高いと推測される。手順と原因に関
　　　しては人から聞きました。)
(02) コソアンのサーバ (php, SQL) に過剰な負荷を掛け、サービス拒否状態にすることができるアンケート
　　　が作成できる脆弱性
(03) 第三者が作成したアンケートを削除できる脆弱性 (回答が付く前に限る)
(04) スクリプトを利用することにより、スラアドの任意の広告を簡単に削除できる脆弱性
(05) 仕様の悪用によりシステムのメール送信機能
…省略されました。全部(1,673文字)読むにはココをクリック。

現在このスレッドには書き込みできません。