10月4～5日のtwitterセキュリティクラスタ

朝から出かけていたので、もう夕方ですね。


まずは週末から話題だった某Codezineのコードについて。コメント見る限りはひどそうですね。

kenji_s: PHPで作成する携帯会員サイトの基本 http://ow.ly/2NQj5 、更新されて簡単ログインにキャリアIPのチェックが入ってるけど、チェックが大雑把過ぎて突破可能。公開停止した方がいいような気もします。

kenji_s: @ockeghem しかし、訂正記事で訂正しきれてないということは、PHP界隈には、やっぱり全然わかってない人だらけなんでしょうね...orz

kenji_s: @codezine あまりに脆弱性が多すぎるので一旦公開停止されたほうがいいと思います。こういういいかげんな記事がPHPの評判を落とす結果になり、PHPがdisされる原因になります。ある程度の品質の記事を掲載されるようにお願いしたいです。

ockeghem: .@kenji_s あの記事書いている人たちはテクニカルライターですから、PHP界隈の人ではないと思います。また、「かんたんログイン」の正しい書き方は誰にも分からないので、このテーマを選んだこと自体が失敗なのだと思います。

Whitetipという脆弱性スキャナがフリーで公開されているようです。誰かのハンドルに関連している名前なのがまずヒットですが、中味についても早速チェックされています。

sen_u: 「Whiteip」っていう脆弱性スキャナ。親近感が湧くな。

sen_u: あ、Whiteip→Whitetip。typo

ymzkei5: Webアプリ脆弱性スキャナ「Whitetip」、１．443開いてなくても動いたら嬉しい。２．動作中に進捗率が出たら良いな。(何分の何。分母は増えても良い)。３．レポートで「検出項目」でソートが出来たら嬉しい。（←「charsetが未指定」とか大量に出てると他が埋もれる。）

ymzkei5: ..\..\..\..\..\..\..\..\..\..\WINDOWS\NOTEPAD.EXE というシグネーチャは斬新だな。一般的には、コンソール出力があるコマンドのほうが良さそうに思ってしまいますけど。（＾－＾；

katsuny3: 無料版とは言え会社名で出すならデジタル署名があるといいな。Vistax86、x64、 Win2k3の3環境で例外でてスキャン完了しない 「URI::InvalidComponentError」 RT @sen_u: 「Whitetip」脆弱性スキャナ。

ymzkei5: http://example.jp/aaa/bbb/ccc.asp を、http://example.jp/aaa/bbb/、 http://example.jp/aaa/ と辿っていくことは、「ディレクトリトラバーサル」とは呼びませんよ～。

そしてWebアプリ検査ツールについて。私も個人的にいろいろ使ってみたのですが、誤検出が多いので、今のところ結局手動になっちゃうなあとか思ったり思わなかったり。業務用の高いアプリを使えば、正確性が上がるのかもしれませんが。

ikepyon: Webアプリ検査ツールに関して言えば、それなりのチェックをしてくれるので、しないよりはましと言う程度だと思う。全ての開発者や組織がセキュリティに詳しいわけではない&そういった専門家をパートタイムでも雇えない現状ではツール自体を導入することはありだと思う

そしてlibrahackの件でのまとめというか。真偽はともかく自説と違う論に対してきつい言葉を浴びせる芸風の人が生き残る議論だったなあと思いましたが…

harusanda: りぶらの件は、「外形」が着地点になりそう。　正直ほっとしている。　どんなに振幅がふれても、やがて聡明な しかるべき地点に落ち着くのがネット…という結果には満足だ。

harusanda: 偽計を前提に現況を説明していた人が、警察依り・図書館寄りの「推論だ」と誤解されて非難を浴び黙らせられてる例が少なくなった。偽計ってそこに書いてあるよね？と憤懣しつつ議論から降りた人が大勢いたことだろう。ある法律家は「謙虚でないと議論が上滑るだけ」と警告まで出した…

harusanda: 僕も「外形を」と言ったが、条件反射で書く（書ける）人には通じなかった印象がある。今回の流れは（よくあることにせよ）（一定の成果もあったにせよ）ある程度 省みることも必要だと思うなぁ

あとの気になったものたち。

yohgaki: http://www.xssed.com/news/122/Amazon_hit_by_persistent_XSS_vulnerability/ AmazonでXSSだそうです。基本的な問題

2chmtm: 美人過ぎるロシアのハッカーが話題に⇒ http://labo.tv/2chnews/r/49166

masa141421356: javascript:document.charset="<script>alert(1)</script>" をアドレスバーで入れるとスクリプトが走る理由が理解できません > Opera

netagent_jp: ブログを更新しました。今回は流行りの「FD改ざん事件についての技術的考察」についてです。 http://www.netagent-blog.jp/archives/51482971.html

kikuzou: 「セキュリティうどん ４杯目 ミクシィ中の人から 2010秋」 http://togetter.com/li/56594 USTREAMは iPhone + 布テープを駆使してお送りしていましたｗ

kikuzou: いつのまにか THC-Hydra が 5.8 になっている件について http://bit.ly/9ypemQ

kinugawamasato: 吹き出しが邪魔で見えねえよバカ http://gyazo.com/61717e91834b7bb502f11401cf13d5fb.png