- yousukezan
- 3657
- 0
- 2
- 0
Yukio NAGAO
@ynagao
サンプルに対するこだわり。 何かしら役に立つ、正常性機能を備えること 現場で「やってしまう」想定のもの 実害のある脆弱性が発現すること 単一要素の脆弱性に関するサンプルとなること #matcha445
2011-04-23 14:46:50
Yukio NAGAO
@ynagao
サンプルで大変だったこと 正常性シナリオを作り出すことが大変。(ex. OS コマンド、evel) #matcha445
2011-04-23 14:56:28
Yukio NAGAO
@ynagao
HTTPとセッション管理。GET(冪等ではない)とPOSTの使い分け。 受動性攻撃と同一生成元ポリシー 入力値などに対して使われる、「ホワイトリスト」「ブラックリスト」 といったキーワードは、使っていない。概念としては表現している。 #matcha445
2011-04-23 14:56:48
Yukio NAGAO
@ynagao
HASH に solt つければ大丈夫? 最近は、辞書攻撃の物量作戦 (4096 コアの CPU!) を攻撃側が持っている! #matcha445
2011-04-23 15:26:59
Yukio NAGAO
@ynagao
・徳丸本でできなかったこと 書かなかったこと、書いたけど削除したもの => UTF-7 の XSS => hidden は削除した => Ajax/JSON は書きたかったけど、書く予定にはしなかった。 #matcha445
2011-04-23 15:27:12