4月8日のtwitterセキュリティクラスタ

CTFは知力も体力も必要な協議なんだなと言うのを改めて実感したこの2日間でした。
CODEGATEのCTFが終了したようです。日本から参加のチームsutegomaは7位だったようです。参加者の皆様お疲れ様でした。解説なんかも期待していますよ。

07c00: #codegate 上位4チームが2問解答。次の3チームが1問解答。つまり全8チーム中7チームが問題を解答しますた。ちなみにsutegoma2は1問解答で現在7位w 少しずつ落ちてきたyo! 上位チームと下位チームの差は1問w
murachue: Chal. 3とけたーーーー!!!! 7位にあがったよ。まだ1時間以上あるので、油断禁物 #codegate2010
sutegoma2: challenge3クリア 1560点を獲得してsutegoma2 は7位に浮上! #codegate
_kana: HFS優勝、PPPが二位、3位がSEXYPANDA、日本は七位でした。ブービーじゃないよ。みんなよくがんばった!
yoggy: CTFお疲れさまでしたー→ホテルに戻って気絶→ようやく起きる→寝ぼけて外に出る→部屋に鍵を忘れて入れない←いまココ

CTFに参加していた愛甲さんはその後講演を行ったようです。すごい体力。

_kana: 愛甲さんがCODEGATEで講演中。Haver Flake や Tora の講演がわかる人にわかる内容であるのに対し、愛甲さんの講演は難しいことをわかりやすく説明していてとても親切。
_kana: 聴衆も身を乗り出してデモを見ています。
CODEGATE2010の写真はこちら。

tessy_jp: #codegate RT @julianor: some codegate 2010 pictures http://www.flickr.com/photos/49088372@N03
先日お伝えしたtwitterのXSSが修正されたようです。IE限定だったのですね。

hasegawayosuke: Twitter’s XSS for IE6/7 was fixed by @bulkneets’s work. http://bit.ly/dd62vs+
bulkneets: twitterのIE限定XSS直りました。
IEは8でも相変わらず危険だというお話。「拡張子でなく、内容によってファイルを開く」を無効にしていた場合でも自動判別されるということのようです。

hasegawayosuke: I think IE is still danger even at 8. Because IE assumes no-HTML as HTML even if “X-Content-Type-Options nosniff” was specified.
hasegawayosuke: Ah, miss. not “X-Content-Type-Option”. Setting of IE “Open files based on content, not file extension” is “disable”.
sirdarckcat: @hasegawayosuke do you have a PoC =D?
hasegawayosuke: @sirdarckcat disable the setting : “Open files based on content, not file extension” and open http://utf-8.jp/cgi-bin/xss.cgi?a.html
hasegawayosuke: “nosniff” header looks like working pretty. better than “Open files based on content, not file extension” option. 🙂
Webアプリも自動的に脆弱性が見つけてくれるスキャナがあればいいのでしょうけど、なかなか自動化するのも大変なのでしょうね。

vulcain: xss専用のスキャナーってないのかな? SQLinjection系だといろいろ引っかかるのに。
vulcain: あと、ログインフォームに対応したスキャナー。クッキー読み込ませるのはあるのだが。
ikepyon: http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=2&lid=6 中途半端だけど、一応出来るよ!

興味はあるけどお金がありませんよ。会社からお金出してもらえそうな人はぜひ。

lac_security: 実践!デジタルフォレンジックハンズオンコース2 タイムライン解析コース http://www.lac.co.jp/event/20100427.html UNIXコマンドに抵抗感の無い方是非!タイムラインから読み解く
中国も気になりますね。

lac_security: リンクがおかしかったので、再掲。 気になるニュースでしたので。「中国ハッカー、インド国防省から情報入手」どんな脆弱性が利用されたのかは不明みたいですが。http://news.livedoor.com/article/detail/4706202/
ガンブラーウイルスの飛び先だそうです。

ymzkei5: ■ガンブラーウイルスの飛び先「ru:8080」の次? – 無題なブログ http://blogs.yahoo.co.jp/noooo_spam/59734115.html

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>