「パスワードの定期的な変更は不要」「文字種四種混合みたいなのは避ける」定期的な変更を要求してくるサービスまだまだある #tktksec
2024-02-04 09:59:02SQL Injection Prevention Cheat Sheet cheatsheetseries.owasp.org/cheatsheets/SQ… #tktksec
2024-02-04 10:08:02A09:2021セキュリティログとモニタリングの失敗 パスワードリスト攻撃も、検知できていれば被害を縮小できた #tktksec
2024-02-04 10:09:48A10:2021 サーバサイドリクエストフォージェリ AWSのメタデータエンドポイントから認証情報を盗むとか oO(React Server Componentsとかで怖くなりそう #tktksec
2024-02-04 10:14:37oO(購入数のマイナスなど、たしかに漏れてることありそう。5000円のものを、1000x-4を追加して1000円で買ってた事例w #tktksec
2024-02-04 10:26:27ReDoS yamory.io/blog/about-red… #tktksec oO(個人的には、vscodeで正規表現入れてる途中でフリーズすることあるのをなんとかしてほしいw
2024-02-04 10:31:13oO(インジェクション系統は、SQLやHTMLなどに引き渡すときにプレースホルダやエスケープを確実に行っていれば防げるので、入力時点のバリデーションで弾かなくても良いような・・? #tktksec
2024-02-04 10:40:07ORDER BYカラム名は文字列結合になる (本来的にはユーザー入力を期待しない箇所なので当然だけど)、ありがちな気がする #tktksec
2024-02-04 11:13:06すでにDBに入ってるデータを、別のSQLに渡すときに文字列結合してしまう"Second-Order" SQL Injectionという概念 #tktksec
2024-02-04 11:25:49ちょっと遅いですか、お昼決まってない方へ! ラーメン→中村商店、きんせい 寿司→喜楽 タイ料理→アユタヤ がおすすめです! #tktksec
2024-02-04 11:41:43