4月21日のtwitterセキュリティクラスタ

いきなり今日は暑くなってびっくりです。冷房入れ忘れてサーバが熱暴走とかありそうですがどうなんでしょう。
今日盛り上がった話題はこれ。SQLインジェクション対策の特許だそうですが、どうも金床さんが以前から公開していた方法っぽいです。公知なので特許は取れないんでしょうかね。

ymzkei5: .@kinyukaさんの書籍は2007/7 発売。この特許の出願は2008/8。>■予約語の変更によるSQLインジェクション対策 http://bit.ly/cR7KAn
hasegawayosuke: いろいろツッコミどころが。とりあえず@kinyukaさんが儲かったらおごってもらう
kinyuka: @hasegawayosuke へー、こんな特許もあるんですね。ちなみにhttp://wizardbible.org/23/23.txtが 2005年ですw
ockeghem: 儲かるためにはまずこの方法が普及しないとww
yumano: これ、CTFの問題ネタとしていけるんじゃね?w RT @ockeghem @hasegawayosuke RT @ymzkei5: .@kinyukaさんの…>■予約語の変更によるSQLインジェクション対策
ucq: いや、予約語変更しても一部のSQL Injectionはできるからw
ucq: 対策が甘い甘い
ucq: ヒント:記号は予約語じゃない
ucq: 少なくともMySQLではそうなってるっぽい
yumano: そうだけどさw ソースをDL可能にしてそこをヒントに解く問題とか・・・ やりたくないなw RT @ucq: いや、予約語変更しても一部のSQL Injectionはできるからw

WordとかExcelって綴りを勝手に修正するから困ったものです。余計なお世話だよ!

NobMiwa: 最近の学生は、Denial of Service をDosと書くらしい
ymzkei5:
DoSと書きたいのにWordに勝手に直される~というオチだったら面白いですねw

道理でどこにもデフォルトユーザとパスワード情報が公開されていないわけですね。VMWareにでもインストールするかな。

kikuzou: もしかして 「Ubuntu Pentest Edition」 ってHDDインストールが前提!? ログインユーザ名/パスワードが不明なため、isoをばらしてpasswdファイルを見ても追加されたユーザ名が見あたらない・・・
これはちょっと楽しみなwツールです。

kikuzou: 噂(?)のツール Netsparker Community Edition is out. http://bit.ly/ajeeaX Grab your free web app security scanner now #netsparker
こういうのもあるんですね。お高いんでしょうけど。

naonee: Webアプリケーション検査ツール VEX http://www.ubsecure.jp/products.php 国産だから、一味違う?
Opera mini for iPhoneは証明書をちゃんと見てないんだか面倒だから警告しないんだか。

ripjyr: I’m reading now:Opera mini for iPhoneではオレオレ証明書が警告されない – disり用。 http://d.hatena.ne.jp/rryu/20100418/1271595278
読んでみたいけどPythonもバイナリもよくわからんので読んでわかるかどうかは秘密。

hasegawayosuke: 来月、O’Reilly Japan から出る「リバースエンジニアリング – Pythonによるバイナリ解析技法」は、http://oreilly.com/pub/pr/2286 の邦訳なんですかね。
あとは今夜読みたいWebサイト。

ripjyr: I’m reading now:【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html
lifehackerjapan: 【最新記事】Googleの認証コードが盗まれる! #lh_jp http://onc.li/h2e128
Murashima: Gmailに集団ハッキングか? 他人のアカウントを悪用 – ITmedia エンタープライズ http://goo.gl/mEi3

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>