2月25~27日のtwitterセキュリティクラスタ
vulcain: 先ほどのフラッシュさんの資料です #matcha445 QT @flash_takahashi: 「まっちゃ445勉強会 LTトーク発表資料」 http://amba.to/iaPULl
luffy_kuroneko: BHJすばらしかった。#BHJ #AfterBHJ
そして3DSが発売されました。VBとは違うんでしょうね。
piyokango: ドヤ顔で3DSを持っていったら、会場内に他にも10人ぐらい持っている人がいるなど。まっちゃ445はすごいですね。
swim_taiyaki: 誰か、3DSにNessusかけたりとかしないのかなぁ。Nmapでもいいよ。って言えば、Jamesさんがやってくれそうだからつぶやいてみる。
sen_u: とりあえず嗜みとして、ニンテンドー3DSでゲームするより前に nmapでポートスキャンするか。
sen_u: UDPスキャンが終わる気がしない。TCPは空いてないっぽいね。3DS
ちょっと前に話題だった気がするTRACEメソッドについて。最近ではあまり悪いことは出来ないようですね。
masudaK: blog書いた! 「TRACEメソッドって怖いんです」 http://bit.ly/fILPjk
kaito834: 今の主要ブラウザではXMLHttpRequestでTRACEメソッド送れないですね。http://is.gd/QSXmAZ RT @kitagawa_takuji: RT @masudaK: ...「TRACEメソッドって怖いんです」 http://bit.ly/fILPjk
kitagawa_takuji: @kaito834 blogでも書かれているようにIE6 SP2でも"TRACE"の代わりに"\r\nTRACE"にすると送れてしまうという問題がありました。それがいつ修正されたはかわかりません。しかし現在はXSTはほぼ実害ないと考えていいでしょう。
ucq: そういえばOPTIONで認証回避できたことあったけどあれはApatchの設定の問題なのかな
kitagawa_takuji: TRACEにはXSTの他にMax-Forwardsを変化させると途中のリバースProxyから色々と情報が返ってくるという問題があります。Proxyに対するtracerouteみたいなものです。
kaito834: @kitagawa_takuji: この手法はProxyがTRACEメソッドを処理するから成立する、という理解で合ってますか? > "Proxyに対するtracerouteみたいなものです"
kitagawa_takuji: @kaito834 そうです。ProxyがForwardする時に付加するヘッダがそのまま返ってきたり、それにProxyのファームのバージョンなどが含まれることもあります。>この手法はProxyがTRACEメソッドを処理するから成立する、という理解で合ってますか?
kaito834: @masudaK TRACEメソッドを結果を交えながら書いてあったところは分かりやすいと思いました:)
kitagawa_takuji: @masudaK かいとさんのブログ http://is.gd/QSXmAZ に書かれている通りXST(Cross Site Tracing)は現在ではほぼ実害はありません。ただサーバの設定変更で簡単に無効にできるので、止めておいたほうが良いでしょう。
検査ツールが特許に引っかかるらしいですよ。
kitagawa_takuji: OWASPのファウンダーMark Curphey氏もCenzicがHBGaryと共通の創設者の会社であること、CenzicのパテントがOWASP WebScarabに影響することに対し懸念を表明。 http://stop232patent.com/
kitagawa_takuji: これは検査技術者ヤバい? Cenzic Invented Fault Injection?! http://stop232patent.com/ http://www.networkworld.com/community/node/71620
kitagawa_takuji: 次のようなプログラムの作成はCenzicのパテントに抵触しパテント料を要求される可能性があります。 1."不正な"又はエラーの応答を発生させるために意図的に不正なリクエストを送信するプログラム (続く)
kitagawa_takuji: (続き) 2."不正な"又はエラーの応答を発生させるために正常なリクエストを送信しそのパラメータの1つを意図的に不正なリクエストを送信するものに変更するプログラム
kitagawa_takuji: XSSやSQL Injectionの検査プログラムは完全にアウト? HPとIBMはCenzicとクロスライセンスを結ぶことで回避、現在CenzicはNT Objectivesと争っている
tomoki0sanaki: マジっっすかぁ~! (0o0) QT @kitagawa_takuji XSSやSQL Injectionの検査プログラムは完全にアウト?
kitagawa_takuji: 特許ヤクザは金のない個人などは相手にしないでしょう RT @tomoki0sanaki: マジっっすかぁ~! (0o0) QT @kitagawa_takuji XSSやSQL Injectionの検査プログラムは完全にアウト?
その他気になったことはこのあたり。
mincemaker: 『ゼロからわかるPerl言語超入門』(本当に全角英数で書いてある)という本を読んだ。2011年3月25日初版と書いてあるが焚書ものの酷さ。今までで一番酷い内容だった。高橋順子著となっている。これを2011年に初心者向けとして出す意味がわからない。
mincemaker: 参考文献でなぜか、技評のモダンなんたらへようこそのWeb記事が参照されているのだが、サンプルソースはレガシーそのものなのがうける。
mi1kman: 濃いコーヒーじゃなくて煮え湯を飲まされればいいのに。 狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性” - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20110224/357668/
piyokango: もう1つの事例はルノーのEV自動車の情報漏えい。現在において 法律上の問題からこの2つとも罪にはなっていない。なぜなら情報はモノではないから。
piyokango: 取り上げられている漏えい企業はここですかね。 http://bit.ly/cUmDaJ なんか社長のブログ見ると4か月前のこととは思えないぐらい楽しそうな感じがするのですが。。