スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月18~19日のtwitterセキュリティクラスタ

TopCoderガールズに負けずにCTFガールズを作ろうという話題。今年は理系女子がはやってるんですかねえ。クラウドガールとか。
chokudai :競技プログラミングの初学者への有用性を示すために、プログラミン初心者な女の子集団による TopCoderガールズを秘密裏に組織しようとしてたんだけど、いい加減秘密裏じゃ集まりが悪すぎるので表でも集めてみようかと検討中 計画に無理があるなぁと思ってた割に集まってるからなぁ

ucq :TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :「いいね!」RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :あ、でも、ペネトレーションガールズのほうがセクシーっぽくないですかね?w RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

tessy_jp :SexyHackingですねw http://bit.ly/mQQ7FVでも消されてる。 RT @ntsuji: あ、でも、ペネトレーションガールズのほうがセクシーっぽくないですかね?w RT @ucq: TopCoderガールズに対抗してCTFガールズをつくるべき

ntsuji :@tessy_jp @ucq 消されているあたりがまたセクシーさをアピールしてますねw

tessy_jp :本家サイトはこっちでしたw http://www.sexyhacking.com/RT @ntsuji: @tessy_jp @ucq 消されているあたりがまたセクシーさをアピールしてますねw

ntsuji :@tessy_jp @ucq 予習しておかないと!(え?


脆弱性の話からなぜか検査時のミスでお詫びの話になるのが、診断の様子を垣間見れて面白いですね。
connect24h :いまさらなんだけど、こいつやばくね?いつぞやのOpenSSLの脆弱性の悪夢の予感。まぁ、使ってなきゃ無問題なんだど。JVNDB-2010-002831 Apache Struts の XWork におけるオブジェクト保護メカニズム回避の脆弱性 http://ow.ly/5...

ntsuji :@connect24h リンク先が売りにでているドメインになっているのですが…

ntsuji :@connect24h その脆弱性の検証は行ってますがさっくりと刺さりますよ。

connect24h :いまさらなんだけど、こいつやばくね?いつぞやのOpenSSLの脆弱性の悪夢の予感。まぁ、使ってなきゃ無問題なんだど。JVNDB-2010-002831 Apache Struts の XWork におけるオブジェクト保護メカニズム回避の脆弱性 http://ow.ly/5l8Ef

connect24h :すんません。尻が切れたようです。次のtweetと同じURLなんですけど。再送しました。RT @ntsuji: @connect24h リンク先が売りにでているドメインになっているのですが…

connect24h :ですよねぇ。しかも。バナーから脆弱性の有無がわからない。(←これが一番問題)どうしましょ?(ここで聞くな)RT @ntsuji: @connect24h その脆弱性の検証は行ってますがさっくりと刺さりますよ。

ntsuji :@connect24h 外からは難しいパターンですね。インストールされていることが分かればexploit(実被害ないもの)で確認するのが一番手っ取り早いですね。分からない場合はサイトをクロールしてからになりますね。一番は中から調べるのが一番だと思います。

ntsuji :@connect24h http://bit.ly/ji911K このあたりも参考になると思います。

connect24h :うちは、ログインしないから、ヒヤリングで対応ですかね。RT @ntsuji: 外からは難しいパターンですね。インストールされていることが分かればexploit(実被害ないもの)で確認するのが一番手っ取り早いですね。分からない場合はサイトをクロールしてからになりますね。

connect24h :こっちもどうぞ。Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability http://ow.ly/5l93CRT @ntsuji: http://bit.ly/ji911K

ntsuji :@connect24h ありがとうございます。同じようなのを中国語サイトで見ていましたw ヒアリングで使っていることが分かればディレクトリ作成とかでお客さんに作成されているかの確認などでよいかもですねー

connect24h :本番に影響が無いことの確約の診断でメール送信画面の確認画面なしでメール送信しちゃってお詫び文を書いたことがあるので怖くてできまへーん。 RT @ntsuji: ヒアリングで使っていることが分かればディレクトリ作成とかでお客さんに作成されているかの確認などでよいかもですねー

connect24h :そうです。本番の時はいくらでも言い訳聞きますが、診断前のCGI洗い出しの時にクローラで踏みつけました。影響ないって言いきってしまっていたので…_| ̄|〇 RT @ntsuji: それってWeb画面からのメール送信機能ですか?

ntsuji :@connect24h テスト前だったんですか。それは怒られそうですね。ボクはテスト中でしたが怒られましたw

connect24h :業務がら、それまで診断時でミスはほとんどなかっただけにへこみました。自分の作業じゃなかったですが、 RT @ntsuji: @connect24h テスト前だったんですか。それは怒られそうですね。ボクはテスト中でしたが怒られましたw

ntsuji :@connect24h そういうことがあると改善が進んで品質を上げることにつながりますよね。ボクはそのミス以来、自身の大きなミスはないですw


その他気になったことはこのあたり。LuizSecもまだまだ元気ですね。
kitagawa_takuji :今日のLulzSec 1000ツイート記念の声明文を発表。4chan=Anonymousと勘違いしたメディアがAnoymnous vs LulzSecと騒ぎ立てる。リクエストに答え幾つかのサイトにDDoSなど


kitagawa_takuji :不正侵入は「楽しみ」と声明 ソニー攻撃でハッカー集団 http://t.co/GIq84uX < この声明文 http://t.co/WEFPbew がどうしてそうなるかねぇ


kitagawa_takuji :CNN.co.jp:CIAなど攻撃のハッカー集団、ツイッターで悪ふざけを自認 http://t.co/R48tu2Kvia @cnn_co_jp <ラルズ!


kitagawa_takuji :Segaの関連サイトがハック、メールアドレス等が流出した可能性 http://t.co/jfQND9M


connect24h :奴らのスイッチのありかが良くわからん。MSも狙ってないみたいだし何?狙ったけどだめだった落ち?痛いニュース(ノ∀`) : セガへのハッキングに有名ハッカー集団激怒「セガを攻撃したハッカー達を破壊してやりたい」 - ライブドアブログ http://ow.ly/5l8sV


ockeghem :訳が悪く尻切れトンボ。原文を読むと、サイトへの侵入はFTPのIDとパスワードを何らかの手法で入手していると推測。対策はGumblarと共通と思われる。もう実施済みだよね:) / 新たなインジェクション攻撃、すでに3万サイトが感染か - … http://htn.to/KXqdK3


kitagawa_takuji :普通の人が考えるハッキングのイメージと実際  http://t.co/NSbp8Zo

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。