« ゴキブリ対メカゴキブリ | メイン | ヒューマンカレンダー »

2007年11月20日

ソーシャルサイトでURLの重複チェックをすり抜けるハック

via reddit

悪用厳禁なハック。Diggなどで新しいニュースを投稿する際に、過去に誰か他の人がまったく同じURLで投稿していると、エラーになってしまうという。

「以前はウケなかったけど自分なら面白い紹介文を書ける」という人は、なんとかしてそのURLをシステムにねじ込みたいかもしれない。そんなときには、サーバやスクリプトエンジンの動きを利用することで、別のURLにして投稿できますよ、というもの。

たとえば、 http://example.com/hoge/ がだめなら、 http://example.com/hoge/./ としてみる。

それから、 http://example.com/hoge/?hoge=hoge などと、無意味なパラメータをつけてみる。パラメータがついても目的のページにアクセスできる場合は、これで重複チェックを飛び越せるというものだ。

メールアドレスもそうだと思うけれど、どこまでが同一でどこからは違うか、というのをまじめにシステムに組み込むのはコストが高くてたいへんだなあ。すり抜けられたときの影響を考えて決めるのだろうけど。

投稿者 秋元 : 2007年11月20日 17:04

トラックバック

このエントリーのトラックバックURL:
http://labs.cybozu.co.jp/cgi-bin/mt-admin/mt-tbp.cgi/1655

 
mg src="http://img.awasete.com/image.phtml?u=http%3A%2F%2Flabs.cybozu.co.jp%2Fblog%2Fakky%2F" width="160" height="140" alt="あわせて読みたい" border="0">

著書

PHPxWebServiceAPIConnections.jpg

プロフィール

週三日勤務で、残りは個人で活動しています