OWASP AppSec APAC 2014 Conference Day 1st(#owaspjapan)
"@OwaspJapan: AppSec APAC 2014始まってます。期間中は #owaspjapan のハッシュタグをつけてつぶやいてください。"
2014-03-19 11:18:57HTTPSを使ってるから大丈夫、ではなくて「ちゃんとcipherを考えて使おう」「必要であればクライアント認証もしようよ」これ、アプライアンスベンダとしてもちゃん伝えるべきですな。基調講演、勉強になります。#owaspjapan
2014-03-19 11:19:02analysis(解析)はSOCでやるのではなく、専門のエンジニアがバックヤードでやった方がよい。役割を分離しよう。 #owaspjapan
2014-03-19 11:19:24セキュリティ対策費用削減の為のSOCというのは妙に納得した。分析して知見を深めて今後に活かすということはあまり考えられていないように感じる。 #owaspjapan
2014-03-19 11:23:372013年版OWASP Top 10 / OWASP Top 10 2013(Dave Wichers)
お、そろそろDave Wichers さんの OWASP Top 10 の話か~ これは聞きたかなった>< #owaspjapan
2014-03-19 11:27:47(PDF) OWASP TOP10 2013(日本語版) https://t.co/tIddkPWwq7 #owaspjapan
2014-03-19 11:39:33文字コードも組み合わせるとインジェクション対応もそこまで簡単じゃないこともある気がする。もちろんここで言ってるインジェクションはもっと単純な攻撃に対してだけのことだと思うけど #owaspjapan
2014-03-19 11:43:45#owaspjapan #fb OWASP top10を書いた人によるセッションなうなんですが、これ知ったの不勉強なことに最近なんですが、ザクっと読んで見てものすごくわかりやすいのが印象にのこりました。技術的影響度まで指標化されててよい。でもビジネスへの影響評価が弱いかな。
2014-03-19 11:53:04XSSの対策は簡単って・・・どこに埋め込むかでエスケープ方法変わるから結構敷居高いと思うんだけど #owaspjapan
2014-03-19 11:58:31A4 Avoiding Insecure Direct Object Referencesの項目の欠陥があるアプリは個人的に検査していても結構沢山見つかる気がする。。。 #owaspjapan
2014-03-19 12:02:30しーさーふチートシートはこちら。 https://t.co/QcrrLC4m7k #owaspjapan
2014-03-19 12:10:10先程の箇所別XSS対策チートシート XSS (Cross Site Scripting) Prevention Cheat Sheet https://t.co/Oa9ZYLCLNE #owaspjapan
2014-03-19 12:13:16「10年でエンジニアが書いているコードはそこまで変わらないのに、なぜセキュリティ問題が減らないのか。ライブラリの利用が増えているため。ライブラリのセキュリティを考える必要がある」#owaspjapan
2014-03-19 12:14:43aspectsecurityのライブラリに関する報告書 https://t.co/kn5jiXiVlN #owaspjapan
2014-03-19 12:16:26