「2時間で作った」が売りだったんですが、多少時間が掛かってもテストしないと．．．
と思ったニュース。

サイトの趣旨は素晴らしいと思っていただけに、驚きを隠せません。

「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿

　犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。

　問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。

　クロスサイトスクリプティング（XSS）の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理（不正な文字列を無効化する処理）を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。

　矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。

　警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。

　矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。

こちらでは、厳しい意見も。

予告inセキュリティ脆弱性を狙ったコード!?　「予告in開発者は素人」

犯行予告サイト『予告in』にセキュリティ脆弱性があるとしてクロスサイトスクリプティング (Cross Site Scripting) を利用したコードが『予告in』に貼られるという騒動が起きた。
8月2日の深夜の出来事で『Internet Exploler』（その他互換ブラウザ）でアクセスすると不正なコードが送信されるというもの。

そのコードを踏むと『２ちゃんねるニュース速報VIP』に「警視庁○○する」犯行予告として書き込まれるのだ。
それだけではなく名前欄は“fusianasan”（IP、もしくはリモートホストが表示される）、本文は「嘘です」というもの。

クロスサイトスクリプティングとはいわゆるサイトを横断したコードである。
今回は『予告in』にあるスクリプトを踏むと『２ちゃんねる』に投稿するように仕組まれたようだが、もちろん『２ちゃんねる』以外にも投稿させようと思えば出来る。

『予告in』運営側は「一時的な対応策として犯行予告の投稿時、すぐに反映するリアルタイム形式から、一旦内容を確認してから反映させる確認方式に一時的に変更」としている。

現在この不正コードは対策されているという。

今回の件について某IT企業に勤めるエンジニア（匿名）に聞いてみると、
「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの？」
と語る。

『予告in』側は「コードを踏んで『警視庁○○する』と投稿した人は本人の意志ではない、すべての要因はコードを開発＆埋め込んだ犯人に原因がある事」としている。

このようなスクリプトのおかげで一時的に“犯行予告を予告”するサイトになってしまった『予告in』だが、今後は今まで通り“収集・通報サイト”として頑張って欲しい。

クロスサイトスクリプティングというのは、セキュアプログラミングの基本中の基本。
WEB系エンジニアなら、知らないってことはないと思うんですけどね．．．

『予告in』に行ってみると、「犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。」とありますので、コードの不具合というより、対策コードそのものが実装されていなかったということのようです。
不正コードを投稿した人も当然悪いのですが、このレベルになると開発者にも問題があるように思います。