スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月28日のtwitterセキュリティクラスタ

久しぶりの雨です。なんか猛暑から変わるとびっくりしますね。


職業バグハンターの時代はそこまできているのかもしれません。うらやましいですなあ。会社で仕事の一環としてやったなら、もちろん報酬は会社に行くんですよね。
hasegawayosuke: Amazonギフト券は届かないけれど、Mozilla Security Bug Bounty Program に基づき報酬を支払うYOという連絡がありました。ありがたいことです。

hebikuzure: @hasegawayosuke Mozilla Security Bug Bounty Program の報酬はやっぱり「雑所得」?? 事業所得にしたら職業的バグ ハンター www

hasegawayosuke: @hebikuzure 新しくなった制度だとバグ1件あたり$3000なんですよねー。1か月1個見つけることができれば飯食っていける額ですよね。

hebikuzure: @hasegawayosuke バグ猟師 Yousuke Hasegawa ww。$3000 って、27万円くらいか、今。年20個見つければ.....

ucq: バグを見つけるだけで生きてけるようになりたいです(キリッ

totoromasaki: ち。これがMSなら・・・RT @hebikuzure: @hasegawayosuke Mozilla Security Bug Bounty Program の報酬はやっぱり「雑所得」?? 事業所得にしたら職業的バグ ハンター www *YF*



「蟹換」と「蟹GREP」の頻繁なアップデートが続いています。
Ji2Japan: フォレンジック調査チーム作成ツール 「蟹換」 version.1.4 UPしました。変更内容はBase64エンコードされた文字列からの変換の追加等となります。 http://bit.ly/5wpcAN

Ji2Japan: 日本語検索EnScript「蟹GREP」で%のGREPパターン(\x00?\x25)の抜けがあったことによりUTF-8のURLエンコードの検出が上手くいかない問題を修正し、version 1.0.1としてアップしました。 http://bit.ly/5wpcAN

kikuzou: 蟹GREP v1.0.1 & 蟹換 v1.4 http://bit.ly/bGplok 日本語インターフェースが使いやすいですね~ 日本人ですからw



iPad持ってないけど、他のデバイスにも関係ありそうなので、なんだか気になります。
bakera: iPadのとある挙動はちょっとまずいかもしれない、という話で盛り上がる。

bakera: iPadだけの問題ではなさそう。となると、アプリケーション側で対応しろということなのでしょうか……。めんどくさすぎるのですけど。

bakera: とりあえず、IPAに追加情報として送ってみるのかな……。解決方法思いつかないのですけど。



ネットにつながらないAPだとただのストレス解消ですが、ルーティングできればパケット取… ゲフンゲフン あ、所詮ゲーマーだとあんまり意味ないかもしれませんが。
expl01t: [ac] 大学でガキの電波ジャックの話をするときに,このネタにも触れようかと思った.というか親が出てきた後半部分が知りたいなぁ // wi-fiできますよね? http://douganoyoake.blog18.fc2.com/blog-entry-3966.html

expl01t: [ac] すばらしい高校生を見つけましたw RT: @Tosh1ak1 こんな時の為にネットには繋がらない偽装アクセスポイントを用意するとストレス発散になるшш “@expl01t: [ac] // wi-fiできますよね? http://bit.ly/bgpS4L ”

sonodam: 偽装APでもルーティング出来たらある程度使われてしまったりするのかな?>無線LAN無断借用。ゲーム機持ってるけど無線LANとかほとんど使ったこと無いからよくわからん(笑)。



IPv6は標準でIPSecも使えるから安全なんだもんっていう話もありましたが、それだけじゃ安全じゃないですものね。
Murashima: IPv6セキュリティの課題を検証する「IPv6技術検証協議会」が発足 - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20100728/350762/



alert()の実行方法2つ。いろいろやり方があって、パズルみたいで面白いですね。これで報酬ももらえればいいのに。
hoshikuzu: あぁ、やっぱり。 javascript:alert(1) なa要素を作れてしまった。 とりあえず無害に近いけれど。 →( http://bit.ly/9PHwgn ) 無防備な感じだなぁ。

masa141421356: Operaでアドレスバーに javascript:location.protocol="<script>alert(1)</script>"; と入れると alert(1)が実行されるのか!!!

masa141421356: アドレスバー固有の変な挙動を踏んだらしい。スクリプトからだと単純に拒否されるだけみたい。



基本的に対策されているからなのか、最近あまり見かけないOSコマンドインジェクションについて。当たると大きいですからねえ。IISでいろいろできたのってもう10年くらい前なのかなあ。なつかしす。
ockeghem: OSコマンド・インジェクションに20ページ以上割いている佐名木本にも、書いてないことがありそうだが、これは「OSコマンド・インジェクション脆弱性にこだわらない方が賢明」ということではないか

ockeghem: といいつつ、OSコマンド・インジェクション脆弱性にウダウダとしているのは、やはり「コマンド起動できてこそ攻撃」みたいなところがあるからかも ^^;

ockeghem: system "echo", "`pwd`"; を実行すると、`pwd`と表示されるのね

ockeghem: Perlの場合、system "cmd $arg" だとOSコマンド・インジェクション脆弱性があるけど、system "cmd", $argだと、OSコマンド・インジェクション脆弱性は発生しない?



まあ、会社としては契約違反は保証しませんよね。
Hagexx: apptoi: AppleがDMCAの新ルールに対して「脱獄は補償の対象外」とのコメント http://bit.ly/cz2yDh



私もサイバーストーカーのようにセキュリティクラスタを見守っていく所存でございますw
mincemaker: 「ネットストーカー」より「サイバーストーカー」の方が強そうだな。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

変なサニタイズ

自分のつぶやいた内容の script タグがサニタイズされて消えてしまっていますね

タイトル

修正しました。
なお、スクリプトをそのままコピペして保存したら、ブログからアラートが出たのは秘密ですw
プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2017
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。