4月22日のtwitterセキュリティクラスタ

昨日は暖かくてコートをしまおうと思ったら、今日は渋谷で雪が降ったくらい寒くて困ったものです。4月も終わりそうなのに、暖房今日も入れてますよ…
JavaScriptが実行されるようなWebサイトについて。いきなりアラートが出るのでびっくりしますよ。そしてなぜかあの人をdisる流れに。

hoshikuzu: http://twitterkensaku.com/hasegawayosuke.html を表示したら、 1 を alert してくれた。  ログイン不要のサービスだから狭い意味でのXSS脆弱性ではないなぁ、と思うが、なんか嫌な感じ。
hasegawayosuke: HTMLを生成してるのに、「”」を「”」って吐きだすクソアプリは何なんだろうね。自分が何を作ってるか分かってないのかなぁ。
ikepyon: それ、magic_quotes_gpcがOnになってるだけじゃね?
ockeghem: Yahoo!知恵袋を見ているとよく分かりますよ。エスケープしろと言われたので、エスケープ関数の中から自分の知っているのを呼んでいるのです
bakera: 恐ろしいことに、そう説明しているHTML本が存在しました。10年くらい前の話ですが。
ockeghem: そんなに遡らなくても、2009年にそういう説明がありました。しかもセキュリティ専門家です。 http://j.mp/cno0yt
hoshikuzu: XSS対策として「属性中の ” を ” とする病気」への特効薬はないけれど、やっぱ、基本に戻るなら、http://bakera.jp/w2cwg に説明してある原理をよく理解することから始まるのではないでしょうか。
結局IPAに届けられたようです。一応脆弱性という扱いになるんでしょうかねえ。

hoshikuzu: IPAに届け出ました。 twitterkensaku.com の件。
そして、はてなのXSS。つかそんなにXSSが残ってるんですか。パフォーマンス優先で命令1つでも少なくしたいのでしょうか。

kinugawamasato: はてなのXSS修正速度がおちてきた
WizardBibleのVol.50が出た模様。ぼくも昔書いたことがあるんですよ。

hoshikuzu: [sec]http://wizardbible.org/50/50.txt 一読。 CSRF対策への影響がいまいちわからなかった。
kinyuka: @hoshikuzu 影響ないです
mincemaker: ケビン・ミトニックの名刺で実際にピッキングしてみたというのがすごいな > Wizard Bible vol.50
新ツール2つ。

kikuzou: なかなか楽しげ。後で見てみることに。「pinata-csrf-tool http://bit.ly/c0GORYsecurebastion: Passive Vulnerability Scanner 3.2 released http://goo.gl/fb/M6k9e #infosec #security
McAfeeこわいすなああ

ntsuji: 似たような名前のプロセス作るマルウェアはもちろんアレですが、消すののも相当アレですよ。「McAfeeのウイルス定義ファイルで障害発生 Windowsファイルを誤認識」http://bit.ly/9VMR3D
資料&ドキュメント。

antiphishing_jp: 資料公開: フィッシング対策ガイドラインの公表についてを掲載しました。http://www.antiphishing.jp/wg/wg821.html
expl01t: [ac] IPA, 脆弱性対策情報データベースJVN iPediaの登録状況 http://www.ipa.go.jp/security/vuln/report/JVNiPedia2010q1.html // アクセス数上位20件とか必要な情報ではない気もするけど興味深い
lac_security: JPCERT/CCさんから「CERT C Secure Coding Standards 日本語版」が掲載されてますね。 http://www.jpcert.or.jp/sc-rules/index.html
昨日の特許関連。

ockeghem: OSコマンドインジェクション対策として、すべてのUNIXコマンドの名前を変えてしまうのはどうか…しっ、しまった。特許を出願してからつぶやくべきだったかw
1年かけて実装されるのでしょうか。楽しみです+(0゚・∀・) + ワクテカ +

ockeghem: エイプリルフールのネタとして、「安全なアダルトサイトを示すAVSSL…アドレスバーがピンクに」というのを思いついたのだけど、HASHコンサルティングのホームページでやるのは憚られる
どっかの雑誌かwebに企画持ち込みたいけど、絶対企画通らない気がwww

kinyuka: 漏れの中ではウェブアプリ型コンソールから好きなときにサーバをニョキニョキ増やせるのが本物のクラウド(IaaS?PaaS?に限る)なので、まずその条件を満たせるクラウドが少ない。国内でNifty以外で今まともに使えるのあるのかな?
kinyuka: エセクラウドランキングとか誰かやらないかな
kinyuka: 「初期費がかかる」「営業マンが見積もりにくる」「サーバ起動まで一週間かかる」「サーバを起動すると以後スペックが変えられない」「月あるいは年単位でしか契約できない」「サーバを増やすときは営業マンに連絡する」等の要素で判定>エセクラウドランキング

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>