アカウント名:
パスワード:
中、上級編ならこんなことはないはず。
> 先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた。 IPAの入門・体験系は気をつけろと。
細工されたセーブデータ読んじゃう時点でなぁ・・・
「不正なプログラム.doc .exe」 を実行しちゃうのと同じようなレベルの話でしかないと思う。
# ソフトの脆弱性というよりはヒューマンエラーの類じゃね?
実行可能を想定したデータじゃないんだからソフトの脆弱性だろ.txtファイルをwebブラウザで開いたらjavascriptとして実行されたらバグだろ
ユースケースとして、教育用のスタンドアロンゲームのセーブデータを怪しげな場所から入手してきてロードするってのがまずわからん。巷に普及してる通常のゲームならともかく、こんな教育用のでセーブデータ使ってステータス値とか何かそういうのを改ざんするような遊び方する奴は流石に居ないだろう。
このゲームやってる奴をわざわざ調べ上げてメールで添付すればできるかもしれないけど、それで信じ込ませられるぐらいなら普通に「改造ツール」とでも何とでも言って.exeを配布したほうがいいんじゃね?
実際に使われるケースが想定されない(あるいはその使われ
セーブデータから読み込んで、コマンド実行だから
メールの添付ファイルに、このソフトのセーブデータがあった場合は、開かないことってことかと。
exeのような実行ファイルではないので、ウイルス対策ソフトで見逃すことがあった場合・・このソフトを使ってる人が多かったら問題になったかもね。
前から思ってたけどエクスプローラーにコマンドプロンプト埋め込んで開いてるフォルダ内で操作できるようにすれば便利なのにWin10ならUbuntuのコマンドが使えるけどDOSのコマンドでも結構便利だよ正規表現覚えればフォルダ内に何百ファイルが有っても困らないしワードのフルパスを全部打つの面倒だからワードの置いてあるフォルダにword.bat置いとけば問題ないし安全添付ファイルのテンポラリフォルダにexel.batも置いとけば完璧コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
エクスプローラで、SHIFT+右クリック → コマンドウィンドウをここで開くがあるから十分でしょ
Explorerのファイルメニューのコマンドプロンプトで開くも便利よ(管理者/Powershellも選べるし)。
>コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…type コマンド?
私もそう思った。
「なんの冗談?」とか回答してるってことはWordやExcelのテキストだけ出力したいってことなのかもね。全く読み取れないけど。
# Program Filesにアクセス権見なかったことにして勝手にファイル作って「問題ないし安全」とか書いてる時点であれだよね。# PATH環境変数をまず覚えろと言いたい。
start winword でいいだろ
なんかよく分からないけど開いてるフォルダのアドレスバーからword.batを打つんじゃダメですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
にゅ、入門編だから(震え声 (スコア:0)
中、上級編ならこんなことはないはず。
> 先日IPAの脆弱性体験学習ツール「AppGoat」でも脆弱性が見つかっていた。
IPAの入門・体験系は気をつけろと。
Re: (スコア:0)
細工されたセーブデータ読んじゃう時点でなぁ・・・
「不正なプログラム.doc .exe」 を実行しちゃうのと同じようなレベルの話でしかないと思う。
# ソフトの脆弱性というよりはヒューマンエラーの類じゃね?
Re: (スコア:0)
実行可能を想定したデータじゃないんだからソフトの脆弱性だろ
.txtファイルをwebブラウザで開いたらjavascriptとして実行されたらバグだろ
Re: (スコア:0)
ユースケースとして、教育用のスタンドアロンゲームのセーブデータを怪しげな場所から入手してきてロードするってのがまずわからん。
巷に普及してる通常のゲームならともかく、こんな教育用のでセーブデータ使ってステータス値とか何かそういうのを改ざんするような遊び方する奴は流石に居ないだろう。
このゲームやってる奴をわざわざ調べ上げてメールで添付すればできるかもしれないけど、それで信じ込ませられるぐらいなら普通に「改造ツール」とでも何とでも言って.exeを配布したほうがいいんじゃね?
実際に使われるケースが想定されない(あるいはその使われ
Re: (スコア:0)
セーブデータから読み込んで、コマンド実行だから
メールの添付ファイルに、このソフトのセーブデータがあった場合は、開かないこと
ってことかと。
exeのような実行ファイルではないので、ウイルス対策ソフトで見逃すことがあった場合・・このソフトを使ってる人が多かったら問題になったかもね。
Re: (スコア:0)
前から思ってたけど
エクスプローラーにコマンドプロンプト埋め込んで
開いてるフォルダ内で操作できるようにすれば便利なのに
Win10ならUbuntuのコマンドが使えるけど
DOSのコマンドでも結構便利だよ
正規表現覚えればフォルダ内に何百ファイルが有っても困らないし
ワードのフルパスを全部打つの面倒だから
ワードの置いてあるフォルダにword.bat置いとけば問題ないし安全
添付ファイルのテンポラリフォルダにexel.batも置いとけば完璧
コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
Re:にゅ、入門編だから(震え声 (スコア:1)
エクスプローラで、
SHIFT+右クリック → コマンドウィンドウをここで開く
があるから十分でしょ
Re:にゅ、入門編だから(震え声 (スコア:1)
Explorerのファイルメニューのコマンドプロンプトで開くも便利よ(管理者/Powershellも選べるし)。
Re: (スコア:0)
>コマンドプロンプト内で中身をテキストだけ表示できれば一番便利なんだけど…
type コマンド?
Re: (スコア:0)
Re: (スコア:0)
私もそう思った。
「なんの冗談?」とか回答してるってことはWordやExcelのテキストだけ出力したいってことなのかもね。
全く読み取れないけど。
# Program Filesにアクセス権見なかったことにして勝手にファイル作って「問題ないし安全」とか書いてる時点であれだよね。
# PATH環境変数をまず覚えろと言いたい。
Re: (スコア:0)
start winword でいいだろ
Re: (スコア:0)
なんかよく分からないけど開いてるフォルダのアドレスバーからword.batを打つんじゃダメですかね。