素人だらけですね!
今回の件について某IT企業に勤めるエンジニア(匿名)に聞いてみると、
【トレビアン】予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 - ライブドアニュース
「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」
と語る。
数時間でサイトをこさえる人が素人であるはずもないです。
だいたい、この道十数年というプログラマですら
if (0 == strlen(str)) { /* エラー */
と書くべきところを
if (str == "") { /* エラー */
なんてコードを書いたりすることもあるのです(ちなみにこれは C 言語での話)。しかも、そのエラーはまずめったに出現しなくて数年間放置されてることもあったりするのです。
すべての出力がエスケープされていないならまだしも、たった一箇所、しかも他人がみつけた脆弱性を見て「素人」と断罪するなんて、どれだけ鬼の首をとったつもりでいるのかと。
これだけで「素人」よばわりするなら、某大手 SIer の F 社だって「素人」集団ですよ。
あ、いやね、ちょうどこの間、セキュリティ専門部署の「セキュリティ監査が通った」とかいう同社の内作 Web システムの XSS 脆弱性を見つけて報告したんですよ。
ええ、私も鬼の首とったような気になってます(笑)。