スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月3日のtwitterセキュリティクラスタ

毎日寒くて大変ですね。

JPCERT制御システムセキュリティカンファレンス2012というのが開催されていたようです。たまにはセミナーにでも行きたいものですが目の前の仕事に流され気味です。
piyokango:福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

tessy_jp:笑うところですかねw RT @piyokango: 福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

ucq:わたしです

gohsuket:大文字だったので一瞬違う話と思ったw RT @tessy_jp: 笑うところですかねw RT @piyokango: 福森さんの資料にICS-CERTへ脆弱性を報告する際、「UCQによる届け出」というお話があったのですが、これはucq氏が届け出したという理解でいいんですかね。

piyokango:@tessy_jp 福森さんによる無双中は笑いが起きてもいいような内容(あまりにもひどい脆弱性だらけで)ですが、会場はひっそり静まり返っています。

piyokango:某対策を誤っているとお話されているのは今日のカンファレンスには某機構がいないからかと納得。

piyokango:JPCERT/CCの制御システムの最新動向を聞いていますが勉強不足であること実感。知らないこと多いですよ。


攻撃される側というかリクエストする側はログインが必要だけど攻撃者は必要ないということですか。
piyokango:2/1に出たPocketWifiのCSRF、JVNだと「匿名もしくは認証なしで攻撃が可能」と記載されていたのですが、今日のLACのレポートを見ると「「GP02 設定ツール」にログインしている必要があります。」との表記が。

timepark:@piyokango はじめまして。Pocket WiFiの件ですが、JVNでも「想定される影響」欄に(利用者の)ログインの記述がありますね。JPCERT/CCの脆弱性分析結果の認証レベルは、説明を読むと、どうやら攻撃者の認証有無を評価したものみたいです。わかりづらい(^_^;)


その他に気になったことはこのあたり。
kaito834:2012年2月、Andrid marketに自動的にアプリを検査する機能が実装された(コードネーム Bouncer )。クラウド環境で実際に動作させ、その挙動も分析するようだ。 / “Android and Security - Of…” http://htn.to/4S7aD9


sophosjpmktg:自分のTwitterアカウントがハックされたら、どう対処するか~Sophosが説明(Impress Watch) - Y!ニュース


bulkneets:最後の、パスワードマネージャと言うよりは、連携アプリにパスワード渡さないためのものだよね、こういうの 独自定義パーミッション使うと危険
jnsa:【データ公開】JNSAセキュリティ市場調査ワーキンググループによる「2010~2011度 情報セキュリティ市場調査報告書」が本日公開されました。


ockeghem:PHP5.3.9にてhashdos対策の際に混入したリモートコード実行の脆弱性。PHP5.3.10にて修正 / “show_bug.cgi?id=786686” http://htn.to/BcsGs6


JVNiPedia:JVNDB-2011-003662: PHP における任意のファイルを作成される脆弱性


JVNiPedia:JVNDB-2012-001265: 複数の Mozilla 製品における任意のコードを実行される脆弱性


ockeghem:おいおい、セキュリティのセミナーで、「フィーチャーフォンはセキュリティ考えなくて良い」というのは言い過ぎでしょう


hanazukin:[仕事][Security]中小企業必読 / “「情報セキュリティ事故対応ガイドブック」の公開” http://htn.to/9UrT9L


nonnmo:webページできてるよー. 「第5回公開鍵暗号の安全な構成とその応用ワークショップ」http://bit.ly/wkTmlw #scis2012


ockeghem:#idcon が難しい理由は、よく分かる。やっている人たちが頭よすぎる。あれでは、優しく説明するのは難しい …と一瞬思ったけど、@_nat のブログは分かりやすく書いてあるから、きっとホントは「やればできる」ことなのだろうw

_nat:@ockeghem すみません、すみません。今回は空き時間に急いで書いたので、ホントわかりにづらい文象だと思います...。


bulkneets:iframeの中身にインジェクションできた場合は当然iframeの中身のドメインで実行されるんだけど、iframe src="" のぶぶんにインジェクションできた場合は親フレームのドメインの権限でjavascript動く。


bulkneets:iframe人生で一度も使ったことない


ntsuji:iframe人生で攻撃にしか使ったことない

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
11-2017
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

10   12

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。