スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

3月22~23日のtwitterセキュリティクラスタ

相変わらず震災に便乗した犯罪がたくさん起こっているようです。注意したいものです。
Kantei_Saigai: 【お知らせ】【義捐金サギ】義捐金を装った振り込め詐欺など、善意につけこんだ卑劣な犯罪が発生しています。「怪しい」と思ったらお近くの警察(全国共通の短縮ダイヤル#9110)や金融庁相談室(03-5251-6811)に情報提供、ご相談をhttp://bit.ly/ftjC0J

ymzkei5: RT ■大地震便乗の迷惑メール・フィッシング詐欺・ウイルス攻撃がわんさかと : 無題なブログ http://blogs.yahoo.co.jp/noooo_spam/archive/2011/03/18

MasafumiNegishi: 日本語がやや不自然だが、こういうのはヤバい。内閣府からの計画停電に関するお知らせメールを装った攻撃。Attack Using CVE-2011-0609 http://bit.ly/dHe0m8


オライリーで電子書籍が半額で、しかも売り上げが義援金になるそうです。早速私も2冊買いました。
ucq: これは買うしかない!RT @yumano: すげ~!激安で寄付き!! RT @yamashiro: オライリーの本が半額で、しかも寄付付き!買うぜー。買うぜー。http://bit.ly/hJFx5j

yumano: すげ~!激安で寄付き!! RT @yamashiro: オライリーの本が半額で、しかも寄付付き!買うぜー。買うぜー。http://bit.ly/gOi0h5


そして、セキュリティクラスタもようやく通常営業の気配が見えてきました。ヒマなのか記者会見の内容やACのCMのパロディもちらほら。まずは「ただちに~ない」な会見のパロディ。
ymzkei5: ボクも「ただちに~ない」の用法をマスターしたいw/“SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

hiromi0: 覚えておこうw RT @ymzkei5: ボクも「ただちに~ない」の用法をマスターしたいw/“SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

ymzkei5: 記者の人に「長期的に見たら危険性はあるのですね?」と突っ込まれるw RT @hiromi0: 覚えておこうw RT @ymzkei5: “SQLインジェクションが存在しているが、WAFが導入されているので、「ただちに」サイトに侵入を許すものではない。”とかかw

hiromi0: 「システムの寿命と平均的なアタック数を勘案すると問題ありません」w RT @ymzkei5: 記者の人に「長期的に見たら危険性はあるのですね?」と突っ込まれるw RT @hiromi0: RT @ymzkei5: “「ただちに」サイトに侵入を許すものではない。”とかかw

vulcain: @ymzkei5 そのWAFで大丈夫なんですか?セキュア開発でいいじゃないですか!と突っ込まれるんですねw

ymzkei5: @vulcain 「しっかりとモニタリングを強化してどちらの対応策が良いか今後も検討をおこなう。」w

ymzkei5: @hiromi0 「いまの段階で危険の生じている状況では必ずしもないのではないと考えている。しっかりとモニターさせていただいている。今後もしっかりとウオッチして管理していかなければならない。」w


tokuhirom: プログラマー「基準値を超えるメモリリークだとしても、直ちに運用に影響を及ぼす値ではない」


piyokango: 「基準値を超えるクロールによるアクセスだとしても、直ちに運用に影響を及ぼす値ではない」


そして、ACのぽぽぽぽ~んCM。
hasegawayosuke: 「<script>」って言うと「<script>」って言う。そうして、あとでログインしたくて「' OR ’A'='A」っていうと「ようこそ」っていう。サニタイズでしょうか。いいえ、なんにも。

nnukki: まほうのことばで 不正なコードが ぽぽぽぽーん♪

hasegawayosuke: こんにちわ(こんにちわーむ!) こんばんは(こんばんはまちや!) RT @nnukki: まほうのことばで 不正なコードが ぽぽぽぽーん♪


ymzkei5: こんにちWarez ありがとWinny こんばんは警察です さよなら日常 まほうのツールで なんでも無料で ぽぽぽぽーん! (ナレーション)そんなうまい話あるわけないでしょ、ACCS~♪


ヤフーの入力処理のポリシーは「何も信じるな」ということだそうですが。
ockeghem: 『入力されるものは、何も信じてはいけません』<入力がアプリケーション要件を満たしている限りは、お客様の意図した通りに処理する。セキュリティとは関係ない / ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPA… http://htn.to/4iebs7

hasegawayosuke: そのまえに、img2.blogs.yahoo.co.jp とかでtext/plainな画像配信をやめるべき。「アップロードされた画像ファイルがちゃんとした画像ファイルであるかを確認することや、サービス用のドメイン以外で…」 http://bit.ly/f9PhCp

ockeghem: #wasbook には「ユーザ入力を信じてはいけない」と書かなかった(はず)。

ockeghem: 「ヤフーにおけるインプットバリデーション」 http://htn.to/4iebs7 を絶賛するブクマ等が少なからずある実態に鑑みるに、「サニタイズ言うな」キャンペーンは継続すべきではないかと愚考申し上げる次第でございます



PHP5.3.6のPDO/MySQLについて。Windowsは文字コード絡みで脆弱なようですね。
ockeghem: PHP5.3.6のPDO/MySQLずっと調べていましたが、1)Linuxでは正しく動いているよう、2)Windowsでは文字エンコーディングの変換などはしてくれるが、エスケープ時に文字エンコーディングを考慮していないよう…これは脆弱性、というのが結論

haruyama: ちょっと不思議 QT @ockeghem: PHP5.3.6のPDO/MySQL(略) 1)Linuxでは正しく動いているよう、2)Windowsでは文字エンコーディングの変換などはしてくれるが、エスケープ時に文字エンコーディングを考慮していないよう…これは脆弱性、というのが結論

ockeghem: @haruyama 不思議ですね。環境の問題をチェックします

haruyama: MySQL/Rubyにおける正しいエンコーディング変更方法 - しばそんノート - http://icio.us/DWoQwg 『mysql_options(MYSQL_SET_CHARSET_NAME)はSET NAMESを代替する機能ではなく、(略)、必ずペアで使用しなければ

haruyama: いろいろ楽になると思ったが残念だな > PHP 5.3.6でのPDO/MySQL dsn の charset 対応

haruyama: dsnでcharset指定した上で PDO::MYSQL_ATTR_INIT_COMMAND で SET NAMES しろという心なのだろうか?



その他気になったことはこのあたり。
kinugawamasato: IEのUTF-7のBOMでXSSするやつ、IE9RCまではページの一番頭にUTF-7のBOMがあれば必ずUTF-7として解釈していたけど、IE9正式版はContent-Typeヘッダのcharset見るようになってる。


hasegawayosuke: おもに Windows 環境で発生するってことかな。 "Just another PHP LFI exploitation method" http://gynvael.coldwind.pl/?id=376


_kana: APWG、世界のサイバー犯罪対策専門家を集結して今後サイバー犯罪に世界はどう立ち向かうべきか、次の段階について話し合うCeCOSVをマレーシアにて来月開催 http://bit.ly/gEMHOa


hasegawayosuke: my answer of tr3w's XSS challenge, with no-alnum JS. works on Firefox. https://gist.github.com/879457


MasafumiNegishi: Honeynet Project Security Workshop の資料が公開されてます。 http://honeynet.org/node/626


MasafumiNegishi: オランダに行く人は気をつけよう。裁判所が無線LANのハッキングを合法と判断。Dutch Court Rules WiFi Hacking Is Now Legal - PCWorld http://t.co/5zHpvbT via @PCWorld


hasegawayosuke: Windowsのユーザ名、"COM1"とかにしたら、Win95は二度とログインできなくなった。

s_hskz: @hasegawayosuke win95へのログインの件、ぜひ、ユーザ名にU+00A0 をいれてみてください。


ucq: [募.集]おすすめのパスワード管理方法/ソフト

hasegawayosuke: @ucq 無料で預かりますよ。

totoromasaki: @ucq Winny で共有すればいいと思うよ。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。