76
…一方、かつて上野宣(@sen_u)から、「なぜ徳丸は徳丸本が書けたのか」と質問されたことがあったのだけど、その時は答えられなかったけど、たぶん「徳丸が効率の悪い勉強法をし続けたので、自力で体系化する力が備わったから」ではないかと思う。当時ウェブセキュリティは体系化されていなかった…
77
この表が何を示すか上野さんも知らなかったので自分で調べてみたところ、MD5ハッシュ保存していた際の解読時間を示しているようです。後でブログに書きます / “Sen UENO on Twitter: "総当たり攻撃時のパスワード最大解読時間の表を日本語化した。 reddit.com/r/Infographics……” htn.to/2D6CAKSSkC
78
こういう認識の人が多いから、POSTすべき処理をGETでやって、脆弱性診断等で指摘されるんでしょうね(結構ある)。GETとPOSTの使い分けについては、拙著でも記載しています。 twitter.com/ebiebi_pg/stat…
79
冤罪をはらした決め手は、「彼女を自宅に招いてステーキを振る舞った写真」ということのようですが、これを読んでいる皆さんにはハードル高くないですか!?
digital.asahi.com/articles/ASR7C…
80
Quoraに『なぜwebアプリケーションではphpやrubyなど動的で型付けのない言語が使われることが多いのですか?』という質問があった。うーむ、というところだけど、有識者からの回答を期待
81
さっそく入社試験問題をChatGPTに解かせてみましたが、GPT-3.5だと当方の誘導が必要でしたが、GPT-4だと誘導も必要なく最初から完璧な解答が得られました。問題は不正アクセス事件の概要を読ませ、原因と対策を問うものです。 twitter.com/ockeghem/statu…
82
某Payでも4桁暗証番号で口座と紐付けできるのでCSIRTにメールしたら「貴重なご意見ありがとうございます」と返ってきただけだった / “銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの? - Togetter” htn.to/4hohyCwQzm
83
特番として予約されている…というのは、たとえば、仮に 03-1100-2222 という電話番号があったら、市外局番省略した場合 110 まで押した瞬間に110番通報になりますからね。なので、1から始まる番号全体を予約している
84
さすがの落ち着いたまとめ / “管理不備と報じられたLINEの問題についてまとめてみた - piyolog” htn.to/3siawaenuo
85
完全に同意ですが、経験を重ねるに連れて、「学生ならばまずは学校の勉強をしっかりすべし」という思いを強くするようになりました。 twitter.com/daem0nc0re/sta…
86
キャッシュ避けにURL(典型的にはクエリ文字列)に乱数文字列を足すことを俗にキャッシュバスターと呼ぶ…ことは徳丸本第2版に書いてあります。サイト側でキャッシュバスターを積極的に使うことはお勧めしませんが、その理由も徳丸本2版に書いてあります twitter.com/takelogtake/st…
87
Log4jになぜあんな機能あるのかと思っていたけど、「世界的サーバー管理ソフト」なら仕方ない(違 twitter.com/marimo_orz/sta…
88
この表を見て驚いた方は、以下の動画をお勧めします。
IPAが似た表を出していて、しばしば間違った前提で引用されているからです。
youtube.com/watch?v=D2ZK2z… twitter.com/sen_u/status/1…
89
…なぜなら、徳丸自身は「効率の悪い勉強法をし続けてきた」から。基本的に独学で、メンターや相談相手がいなかった。なので、手あたり次第に本を読んで自分で考えるしかなかった。なので、「効率」という点で考えるとむやみに不効率だし、時間がかかった…
90
生々しいルポ。いきなり逮捕などでなくてよかった。捜査員がその場で確認したのですね。対策については同意しません / “自宅に捜査員が…家のルーターが知らぬ間にサイバー攻撃発信元に | 毎日新聞” htn.to/25ZKne5cM1
91
陛下の「Vim が使いたい」は、「本当はVisual Studio Codeが使いたいのだが、そう言うと侍従がインストールしなければならない。なので主要ディストロに含まれるVimを使いたいと述べられたのだ」ではないかと
93
こちら、Shift_JISの0x5c問題ではないかという推測をしている方がおられますね。そうかもしれません。0x5c問題については、徳丸本初版・2版とも第6章で説明しています。実は6章は2版の削除候補だったのですが、残しておいて良かったということかな? twitter.com/CompileHeartWe…
94
PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。 / “【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog” htn.to/4n6tSP6x23
95
マイクロ秒+乱数を使う PHPのuniqidという関数がありますが、セキュリティ筋からは危険な関数筆頭くらいに扱われていますし、マニュアルにも「この関数は、戻り値の一意性を保証するものではありません」と明記されています
php.net/manual/ja/func… twitter.com/_xckb/status/1…
96
私はよくCSRF攻撃のデモで、私の名前でログイン中に罠を踏んで「ほら、徳丸のアカウントで犯行予告ができました。私は逮捕されそうです」ってやるんだけど、新しい手口は、「アカウント名に徳丸と設定して投稿する」だけなんですってよ。簡単ですね!
97
JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top 10 2021違反」と報告されてしまいますyo ! twitter.com/ockeghem/statu…
98
ちょうど今日ウェブセキュリティの講習やっていて、「ウェブサイトでパスワードのハッシュ保存が常識になったのはここ10年ほどのことだし、今もパスワードを平文保存しているサイトは多いと思う」と説明したばかりなので、僕が嘘を言っていない証拠になると思いました twitter.com/ockeghem/statu…
99
ブラウザバックで直ちにエラーになりログアウトされるサイトの例。ブラウザバックすると危険らしい。そういう作りにしなければよいだけなのに。オンラインバンキングだと割と多い
100
これではSQLインジェクション感がまったくないw twitter.com/spp_cyber/stat…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy