スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

8月20~21日のtwitterセキュリティクラスタ

あんなクソ暑かったのが高校野球が終わった途端に寒くなった上に豪雨ですよ。もう。

今年も開催されるんですね。行きたいのですが仕事と重なりそうで心配です。とりあえずチケット買います。
avtokyo :AVTokyo2011 は11月開催出調整中。 CTFもまもなく開始予定です。 サイトもまもなく更新しますのでしばしお待ちを www.avtokyo.org


資料とツイート見ているだけでブラウザー勉強会面白そうでした。ちなみにまとめはhttp://togetter.com/li/176968にありますよ。
kyo_ago :発表資料ですー bit.ly/qJ9DfV #browserws

hasegawayosuke :午前中に話した "Using Win32 API inside Chrome Extensions" の資料を公開しました。 #browserws

piyokango :何となく書いてみました。/第3回 ブラウザー勉強会に行ってきた。 http://bit.ly/r827YX #BrowserWS

azu_re :#BrowserWS に参加したメモ公開した "第3回ブラウザー勉強会 アウトラインメモ | Web scratch" bit.ly/nlUVTI


まとめは誰でも編集できるので自分が入っていない方は思いで作りの一環として入れてもらえると助かりますよ。そういやモヒカンの人は私も見たことがあるような…
moton :いまごろ見たw 俺のつぶやきが無いと思ったが、渡米中4回しかつぶやいていなかったw「DEFCON19日本の人まとめ」 http://me.lt/3X0dS

moton :というわけで、Togetterから過去の記憶を広い中w Twitter / Sen UENO: 衝撃、いや笑撃の展開。知り合いがモヒカンになってた! ... http://me.lt/6kIzR

sen_u :@moton これは驚いたよね。w

moton :@sen_u 同じエレベーターに乗ってたのに、降りる直前まで気づかなかった。まさに笑撃的エピソードw

sen_u :DEFCON TLまとめ見てたら忍者の衣装が欲しくなってきた。侍でもいいなァ。 togetter.com/li/171035


ockeghem先生のphp本サンプルコードのセキュリティチェックのお時間です。プログラミング本を出す前には一度ご覧いただくのがいいかと思いますが、都合で黙殺して出版して激怒というシナリオが頭をよぎるので、進行的にはまずいかもしれませんよ。
ockeghem :「よくわかるPHPの教科書」見ているけど、アップロードの解説に脆弱性があるね。拡張子の確認をファイル名の後ろ3文字だけで確認している(P110)けど、これだと、/tmp/ajpg というファイル名がjpgとみなされる。拡張子がないので、IEの場合にXSSできる

ockeghem :バグがあること自体はある意味仕方ないんだけど、ファイル名の後ろ3文字だけで拡張子のチェックをするというアプローチはあんまりだと思いました。PHPには便利な関数がいっぱいあるんだから、それを使うように誘導しないと

ockeghem :念のためサンプルをダウンロードして動かしましたが、IE8でXSSとなることを確認しました。#wasbook の読者には簡単すぎる例題ではないかな。後でブログに書くかも

ockeghem :くだんのスクリプトはマジックバイトのチェックをしていないので、拡張子があってもIE7以前ではXSSができます。けど、それはそもそもIEの問題だし最新のIEでは直っているので、そこまで問題にしようとは思わないんだけど、後ろ3バイトはないわー

ockeghem :「私はいかにして脆弱性を見つけたか」というと、拡張子のチェックに変な方法使っている→なにかあるんじゃないか→拡張子がない場合の考慮が抜けている→拡張子がない場合は脆弱性だ ということで、はるぷさんのエントリに通じるものがありそうですね


ockeghem :「よくわかるPHPの教科書」の自動ログインがひどい。#wasbook の危険な実装例として載せた方法がそのまま使われている (~o~) 「改良」版の方だけどね:-)

ockeghem :「よくわかるPHPの教科書」のP96には、ログインパスワードをCookieに保存すると危険なのでやめろ、と説明しているのですがね。自分で書いたことくらいは実践して欲しいです

ockeghem :まっ、続きはブログで。スイッチがはいりました


その他に気になったことはこのあたり。
hasegawayosuke : セキュリティ&プログラミングキャンプ2011関連記事あつめたよ。 #spcamp


sec_recruit :Apache Killer - Posted by HI-TECH . on Aug 19(see attachment) /Kingcope http://ow.ly/1ek0Ji


ikb :cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘 - ITmedia ニュース -- supercookie ってどうやって実装してるのかな? Flash?


KirisameRW :ちょwwwブルースクリーンしてるしwww twitpic.com/69h8y6


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。