スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月22日のtwitterセキュリティクラスタ

昨夜は突然の大雨や地震でびっくりですが、今朝も特に何も変わらず暑くて困りますね。


POSTのみしか受け付けないXSSでの攻撃方法について。勉強になります。
mincemaker: Webアプリの検索クエリ結果表示でXSSするとして、POSTのみ許可にしていたらユーザが任意にクエリ発行する以外に再現しないから脅威じゃないだろというのは妥協して良い範囲?

mincemaker: 具体的な攻撃例がいまちょっとコード化できないのだけど外部サイトからクロスドメインで攻撃する方法がありそうな気がするのだけど。

hasegawayosuke: @mincemaker こんな罠ページに誘導すれば。 <body onload="javascript:document.f.submit()"><form name=f methd=post action="http://external.example.jp">...

mincemaker: @hasegawayosuke それだと罠ページと external.example.jp のドメインが違ったらGETで送信になってしまわないです?

hasegawayosuke: @mincemaker http://utf-8.jp/test/ugtop.html

mincemaker: @hasegawayosuke あら、できてますね。今私が対象としているドメインだけ挙動が違うのか。ありがとうございます。悩みます。



ショートカットファイルアイコンを規定の白いものにすれば回避できるんですね。なんだかなあ。
yumano: アイコンが真っ白け~♪ RT @MasafumiNegishi: RT Windowsの「ゼロデイ脆弱性」に回避策、ただし“副作用”に注意(ニュース) - http://j.mp/dt3bYq

ntsuji: ショートカット問題への対応ですね。 MSが未解決の脆弱性問題で「Fix It」を提供――攻撃の回避措置を自動実装 - ITmedia エンタープライズ - http://bit.ly/9dXiqb


そして実演。知らない人は電卓が起動できたから何?って思われそうですけど。
ymzkei5: ■川口洋のつぶやき 第26回 「えええ??Windowsのショートカットで攻撃されるの?」 http://www.youtube.com/watch?v=b2_bT6t8Imc



みんな都市伝説好きだなあ。
scannetsecurity: ScanDispatch:アメリカサイバー司令部紋章に隠された秘密: ●全米のギークが謎解きに奮闘。アメリカサイバー司令部紋章に隠された秘密は? http://url4.eu/6ChHW



仕事で使うツールなどが駆除されることがうちでもたまにありますので、解析する人ってアンチウイルスソフトをどうしてるのか気になります。
ymzkei5: 昨日、社内のMLに悪性スクリプトが投稿されてアンチウイルスに駆除された影響で、なんだか Becky!が調子悪い。頻繁に落ちる。フォルダ修復中。だれですか!駆除されるようなメールを送ったのは。(私です。ごめんなさいっ。><)

ntsuji: @ymzkei5 何が書かれていたんですか?w

ymzkei5: @ntsuji spamメールに含まれていた悪性スクリプトの難読化をひもといたものが、Bloodhound.Exploit.XXX で検知されまくりましたw



SSL証明書の期限が切れても一応暗号化はできるんですよね。
HyoYoshikawa: すんげえラフなこと言えば、サーバー証明書なんて一回取れば十分で、ユーザーはそれでおおむね信頼するよね。期限切れはビジネスモデル的な必然が殆ど。リスクもわかるけど。ベリサインなんて高くて使う気しないもん。だいぶ下がったけどさ。ノラ証明書機関でいいじゃんとか思う。



キャンプの参加者は金床本とか読んでたりするのですか。レベル高そうだなあ。
hasegawayosuke: 金床本はマニアックで非常におもしろいのですが(その節は献本ありがとうございました。ぺこり。)、網羅性や一般性という点では偏りがありすぎるので素直に勧めるには抵抗が。 参考になる書評→ http://www.tokumaru.org/d/20070724.html #spcamp

hasegawayosuke: もし来年であれば、間違いなく @ockeghem さんが現在執筆中という書籍を勧めると思う。まだどんな中身なのかはわからないけれどw #spcamp



僕も見た目だけなら真似できそうなので、とりあえず白い手袋とUVカットのサングラスを買いに行ってきますw
ymzkei5: 私、デジタルフォレンジックの時の白い手袋を見て、思わず、「これって雰囲気作りですか?」と聞いて笑われたことがあります。(^-^;

mincemaker: アクセス探偵マンガみたいに、診断開始イベントでサングラス(UVカット)とか装着すればいいんじゃないでしょうか。


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。