第16回 まっちゃ445勉強会 まとめ

Yukio NAGAO @ynagao

～専門家は同業者だしどうでもいいｗ～ #matcha445

Yukio NAGAO @ynagao

取り上げた脆弱性～実害がはっきりするものを重視する。OPTIONSとかは割愛。 #matcha445

Yukio NAGAO @ynagao

サンプルに対するこだわり。 　何かしら役に立つ、正常性機能を備えること 　現場で「やってしまう」想定のもの 　実害のある脆弱性が発現すること 　単一要素の脆弱性に関するサンプルとなること #matcha445

Yukio NAGAO @ynagao

サンプルで大変だったこと 　正常性シナリオを作り出すことが大変。(ex. OS コマンド、evel) #matcha445

Yukio NAGAO @ynagao

　HTTPとセッション管理。GET(冪等ではない)とPOSTの使い分け。 　受動性攻撃と同一生成元ポリシー 　入力値などに対して使われる、「ホワイトリスト」「ブラックリスト」 　といったキーワードは、使っていない。概念としては表現している。 #matcha445

Rintaro @_rintaro_f

HTMLパーサの罠！！ #matcha445

Yukio NAGAO @ynagao

・徳丸本とクロスサイトスクリプティング 　実は、サンプルいっぱい(?)載せてますｗ #matcha445

Yukio NAGAO @ynagao

　E社？ XSS 問題。。。ｗ #matcha445

Rintaro @_rintaro_f

JavascriptのXSS対策はまだまだなのか… #matcha445

ytk @JP1125

JavaScriptの具体的なXSS対策の情報は少ない → 徳丸本を買おう #matcha445

totoro @totoromasaki

384 core なら、つくったな・・・。昨年。#matcha445

totoro @totoromasaki

あぁ、箱庭を作れば、パスワードクラックも出来るのか（当たり前 #matcha445

@151a_j2_bot

[totoromasaki tweets ] あぁ、箱庭を作れば、パスワードクラックも出来るのか（当たり前 #matcha445

リザウド @rizaudo

#matcha445 おやつタイム？！

Yukio NAGAO @ynagao

　HASH に solt つければ大丈夫？ 　最近は、辞書攻撃の物量作戦 (4096 コアの CPU!) を攻撃側が持っている！ #matcha445

Yukio NAGAO @ynagao

・徳丸本でできなかったこと 　書かなかったこと、書いたけど削除したもの 　=> UTF-7 の XSS 　=> hidden は削除した 　=> Ajax/JSON は書きたかったけど、書く予定にはしなかった。 #matcha445

yumano @yumano

終わりぎわにいきまする orz #matcha445

Yukio NAGAO @ynagao

#matcha445 http://yfrog.com/gzgkdytdj http://yfrog.com/h335509264j http://yfrog.com/h21jdplj http://yfrog.com/h68soubj

さがみ／たはら @sagami22

http://twitpic.com/4obpp2 - おやつ その2 #matcha445

拡大

yumano @yumano

#matcha445 ちょ、おやつの時間までに帰れなかった！！！　まてまて〜！！！

piyokango @piyokango

徳丸さんのサイン会が始まった模様。 #matcha445

KimiTaniai @kimitaniai

徳丸さんのサインゲットーo(^▽^)o #matcha445

さがみ／たはら @sagami22

http://twitpic.com/4obud5 - おやつ そのよん #matcha445

拡大

しーにゃ♪@公式 @Syynya

冷凍ずんだ餅、解けない。 #matcha445

Yukio NAGAO @ynagao

Q: 「IT用語辞典」はいつ出るのですか？ 　 A: 出ません。書いてください。 #matcha445