ttp://yokoku.in/column/release/080803.php

原因
犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。
結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました

どんな高度なクラックが！と思ってたけど、埋め込まれたコードは単純でした。
ただ単に何のエスケープもしてなかっただけ。。。

2時間で作った、を売り文句（？）にしていた記憶がある。
ん〜。

この方に限らず、面白いWebサービスを作って公開している方は多い。でもセキュリティはどこまで意識されてるだろうか。作ってる人は、利用者からの「面白い！」とか「役に立った！」という声が嬉しくて活動しているのだろうけど、それだけだったら正直自己満足に過ぎない。本当にユーザのことを思うのなら、セキュリティへの意識はおのずと高まるんじゃないかな。被害を受けるのは大抵ユーザなんだし。
行動力があり、役立つものを提供している点は尊敬に値しますし、バグは撲滅できるものじゃないけれど、でも公開前にできることはまだあったはず。

人様を非難したのは久しぶりな感じが。笑
い、一応セキュリティキャンプ卒業生なので啓発的な意味合いで！