#ssmjp 2014/05 まとめ

ハニーポッター @k_morihisa

SQL インジェクションツールのテストするなら Damn Vulnerable Web Application (DVWA) 使いましょう． dvwa.co.uk あとwasbookとか hash-c.co.jp/wasbook/ #ssmjp

ハニーポッター @k_morihisa

このゆるいかんじの勉強会すきです #ssmjp

えにぐま @enigma63

SQLインジェクション祭り #ssmjp

#ssmjp info @_ssmjp

.@tigerszk さん 「とある診断員とSQLインジェクション」 #ssmjp

ykame @YuhoKameda

この会場危ない人多い #ssmjp

不可逆さん @anirreversible

ｷｬｰszkｻｰﾝ #ssmjp

Armour bot @geckorex_jp

とある診断員とSQL注入（インジェクション）　#ssmjp

不可逆さん @anirreversible

Zapエバンジェリストがいうと重みが違う #ssmjp

junjun@misskey.haun.jp/@junjun@haun.jp(bluesky) @junjun_

アブナイ人じゃなくてよかった #ssmjp

Armour bot @geckorex_jp

アプリケーション診断というブラックボックステスト　#ssmjp

けるる @keruru

30秒経過 #ssmjp

辻 伸弘 (nobuhiro tsuji) @ntsuji

Web診断は苦行だそうですｗ #ssmjp

ハニーポッター @k_morihisa

診断ツールのチューニングの話めっちゃ聞きたい・・・ #ssmjp

Armour bot @geckorex_jp

手だけでやるわけじゃないです、そんなのしんでしまいます　#ssmjp

ykame @YuhoKameda

Webアプリ診断のコツ #ssmjp

辻 伸弘 (nobuhiro tsuji) @ntsuji

Web診断ではツールも使うけどある程度のチューニングをする必要があってそこに割と時間がかかると。 #ssmjp

けるる @keruru

Webアプリケーション診断を始めるとChromeが可愛くなる気がします #ssmjp

不可逆さん @anirreversible

やはりローカルプロキシが定番なのかにゃ #ssmjp

Armour bot @geckorex_jp

問題の切り分けや作業の効率化のためにProxyを使う　#ssmjp

不可逆さん @anirreversible

定番は Burp、ZAP、Fiddler #ssmjp

辻 伸弘 (nobuhiro tsuji) @ntsuji

新しいサイトにアクセスするときには必ずローカルプロクシを通す病。 #ssmjp

辻 伸弘 (nobuhiro tsuji) @ntsuji

診断するときは、 診断受ける側の担当者とは綿密に打ち合わせする。これ大事！ #ssmjp

不可逆さん @anirreversible

診断をするときに担当者に入念に調整しないと死ぬ（DBにに激しく書き込み、バッチが止まるかも、バージョンはすべて揃える、DBのバックアップ、お客との調整、プラットフォームに対して調整など） #ssmjp

Armour bot @geckorex_jp

診断を実施する前には、十分に準備する（対象とどう条件の別環境を作る、DBをバックアップをするetc）　#ssmjp

辻 伸弘 (nobuhiro tsuji) @ntsuji

今日の話はあくまで「とある診断員」のお話。 #ssmjp