脆弱性対応勉強会Expansion 第01回(脆弱性診断研究会) Tweet まとめ
-
- いいね!0
ゆうのかんや@へっぽこ
@yunokanya
Webの脆弱性の多くは特徴的にはゼロデイな感じだから、ツールだけだと抜け漏れや誤検知が多いので、難しいですよね。 #vulnstudy
2020-09-18 20:01:36
hitokamu
@hitokam
無償/市販の脆弱性診断ツールが多種あふれてるのは決定打は無いからでツールだけかけて安全ということはないと。会社では診断会社高いからツールだけでいいだろっていう意見が通って逃げ出そうか思案中 #vulnstudy
2020-09-18 20:01:53
chocopurin
@cluclu_land
入力内容によって、次の画面の結果が変わるケースがあると思いますが、この場合は結果毎に1画面と考えるのでしょうか? #vulnstudy
2020-09-18 20:09:15
黛 史樹 (Fumiki Mayuzumi)
@kuroxy22
全然関係ない分野でいいから、自分の全く知らない領域を勉強するのがいいと聞いた覚えがある(実践はしていない) #vulnstudy #老害化対策
2020-09-18 20:21:31
chocopurin
@cluclu_land
パラメータ名は同じだけど、入れる値によって結果が変わるケースをどうカウントされるのか気になります #vulnstudy
2020-09-18 20:37:12
黛 史樹 (Fumiki Mayuzumi)
@kuroxy22
[並び順が違うだけで挙動が異なるウェブアプリケーション]の作成経験がある方がどのくらいあるか、興味本位でお聞きしたいです。ちなみに私は経験ありません。 #vulnstudy
2020-09-18 20:39:59
chocopurin
@cluclu_land
値によって画面のモードが変わる場合なんかは別カウントされるということですね。ありがとうございます #vulnstudy
2020-09-18 21:04:00
四川麻婆豆腐
@hogehuga
無事配信終わりました。お疲れさまでした。 WEB診断時の「画面数」や「パラメータ」の話は診断依頼しないとあまり聞けない話だったと思います。 録画した動画については、後日、配信いたします。 ; youtube studioでのエンコード(?)待ち。 #vulnstudy
2020-09-18 21:13:06
三ツ矢
@328__
確かに脆弱性診断の見積もり結果ってうける側からすると高いよなぁって思うよね。フォーム1つとっても, input,confirm,completeあるので想定の3倍になったりする。説明はするけど、ここは納得していただくしかないよな。 #vulnstudy
2020-09-18 22:08:58
safeoff
@safeoff
#vulnstudy 場合によっては/path/to?page=prevと/path/to?page=nextはパスは同じだけど別リクエスト扱い、/path/to/123/detailと/path/to/789/detailはパスは違うけど同一リクエスト扱い、って話題が面白かった
2020-09-19 08:22:22
safeoff
@safeoff
#vulnstudy /path/to.css?a=hogeはユーザ入力にならないので診断対象外って言ってた でも前に/path/to.js?a=hogeがユーザ入力になっててXSSになるのを見つけたことあるんだけど、jsの場合はどうなんだろ
2020-09-19 08:27:52