8月6日のtwitterセキュリティクラスタ

いよいよ夏休みっぽいですね。このブログもTLの勢い次第でしばらく更新できないかもしれません。まあ、暑いしtwitterはエコじゃないですしね。


脆弱性てんこ盛りWebアプリを見つけられた件。IPAに報告しても作った側は名前出されると恥ずかしいから逆に対応しないんじゃないかと、ふと思いました。

ikepyon: 久々にSQLインジェクション、XSSてんこ盛りなWebアプリを見た。これって、DBアクセスあるとこや、画面表示しているとこ全てに問題あるんじゃなかろうかorz

ockeghem: @ikepyon そのサイトは、最近開発されたのでしょうか?

ikepyon: 今って2010年だよね？10年ぐらい前のアプリを見ている気分ｗ

office_acer: @ockeghem @ikepyon 私も先週、オープン直前のサイトでXSSとCSRF山盛りになっているのを見て途方に暮れました。急いで修正させましたが結局間に合わず、サービスインを 1ヶ月延期することになりましたが。

ikepyon: @ockeghem 最初に出来たのは2001年ごろみたいですねぇ。その後ちょこちょこ修正は入っているようですが、今のは全面作り直したのかどうか分かりません

ikepyon: うーん、なんとなく2007年当たりに全面刷新してるっぽいなぁ

it_tutor: タイムリープしてしまったのですねww QT @ikepyon: 今って2010年だよね？10年ぐらい前のアプリを見ている気分ｗ

ikepyon: @it_tutor まさにそんな感じですｗ問題が発覚して無いだけじゃないかと不安ですｗ

vulcain: 自社アプリだったらガックリくるよね RT @ikepyon 久々にSQLインジェクション、XSSてんこ盛りなWebアプリを見た。これって、DBアクセスあるとこや、画面表示しているとこ全てに問題あるんじゃなかろうかorz

WizardBibleってイプさんがずっと続けられて有名なものかと思っていたら、意外と知られていないものなんですね。ちなみに僕もちょっとだけ書いたことがありますよ。

MasafumiNegishi: Twitterのせいですな。86 Results!! http://bit.ly/cXxs17 RT @kinyuka: なぜか今になってはてブで話題になってる！http://bit.ly/aJWBVi　　WizardBibleはプロモーション不足なんだろうなぁ(;´Д`)ｗ

インチキツールかっこいいです。

hasegawayosuke: JSONって奥が深いですね！さっぱり意味がわかりません。 「JSONファイル修復ツール fixanyfile.com :: てくてく糸巻き」 http://blog.ptlabo.net/index.php?id=10070035

meetsとか書くと、アーティストっぽいですが、ロクでもないようなことで。

shu_tom: Gumbler meets SQL Injection http://bit.ly/dg3cpq

JSOC見学会第二弾があった模様。いいなあ、いきたかったなあ。仕事面倒だなあ。

shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc

yumano: 一昨日、いってきました。中にいる人に手を振ったけど、反応してもらえなかった orz RT @shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc

cchanabo: 水族館じゃないしｗｗ QT @yumano: 一昨日、いってきました。中にいる人に手を振ったけど、反応してもらえなかった orz RT @shima_nakatomo: 情報セキュリティの地球防衛軍「JSOC」見学会なう。自分がここにいていい立場かどうかは謎。 #jsoc

そんなにも手法があるのか( ﾟдﾟ)ﾊｯ!

yohgaki: RSnakeは28個もSSLのMTIM攻撃手法を発表したのか。4割くらいしかSSLが正しく設定されてないのは酷い。

yohgaki: 24個か

自分が大学生の頃は酒飲んでカラオケ行ってた記憶しかないのですが、今の学生さんはいろいろできて楽しそうですな。

anemo: 某NA社がインターンシップ募集してる．超おもしろそう． / 新卒採用：NetAgent Co., Ltd. http://htn.to/La4wYX