151
JPCERT/CCからECサイトに対するXSS攻撃に関する注意喚起と詳しい手口の公表がありましたが、攻撃の原理についてはこちらの動画をどうぞ(デモあり)
『管理画面に対するXSS攻撃でクレジットカード情報を盗む手口』
完全版: youtube.com/watch?v=FpCabi…
短縮版: youtube.com/watch?v=oh1gyu…
152
期待しないで読み始めたけど、モテ男の回答は核心に触れている気がする / “モテ男から教えてもらった秘訣が意味不明だった” htn.to/oeWKkPdqkQ
153
IPAのページにGoogle検索でいくと404になるので、案内に従ってIPAサイト内検索したところ、やはり404になるのウケる(ウケない)
154
川崎市: 2つの処理が同一時刻(1秒以内)で発生
後に行くほど「難易度」が下がっているのですが🤔
155
Web3によってGAFAなど既存の権威を打破しようという書籍が既存の権威につぶされた構図なので、田上氏はWeb3によって思いのままに書籍を発行すればよいのではと思いました(提案) / “書籍「いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界」の…” htn.to/3hHKTkGPhG
156
『大阪府の40歳代男性名義で再発行したSIMカードを利用し、スマホを使って金融機関のアプリに不正にログイン。男性名義の口座から約600万円を両被告らの管理する口座に送った疑い』 / “SIMカード再発行でスマホ乗っ取り、不正送金の男2人を全国初逮捕…世界で…” htn.to/YcNr1KQE86
157
chmod 777 -R /usrでかなりざわつきましたが、上には上が…『誤ってsu権限でchmod 777 -R /をしてしまったところsshでアクセスができなくなってしまいました』 / “chmod 777 -R /をしてしまいました” htn.to/3NEj3gzAFu
158
カード情報漏えいの過去のリリースを読もうとしたら、WordPressセットアップ画面が表示された時の顔をしている
159
そんなことは言っていません>『徳丸浩さんが…ということを言及していました』 / “「ローカルストレージ」「Cookie」「インメモリ」どれもダメ 認証用トークン保存先の第4選択肢「Auth0」 - ログミーTech” htn.to/2RW57we4wn
160
「ペイメントアプリケーションの改ざん」でカード情報を盗む手口はこちら。日本では10年間にわたって使われている手法ですが、まだまだ認知されていないようです
youtube.com/watch?v=XNgVeH…
161
NVIDIAがご禁制の品に… / “密輸されたNVIDIAのグラボ300枚が漁船から押収される - GIGAZINE” htn.to/4q7k3dZQ3g
162
もう少し噛み砕いて書くと、例えば徳丸のケータイの電話番号を知っている人がこの脆弱性を悪用すると、徳丸の裏垢がわかったりする、ということですね。 twitter.com/ockeghem/statu…
163
知恵袋の情報を根拠として「かぼちゃワイン誕生」なる虚構ニュースをでっち上げたところ、実際には存在したことを取材を交えて検証していて良い / “虚構新聞デジタル:「ほのかな甘み かぼちゃワイン「エル」4月発売」についてお詫び” htn.to/c1g1Xpsrqd
164
HTML5が廃止されたので今後はHTML6を学びましょう…なんて言ったら信じる人がでてくるだろうか (←違いますからね!) HTML6はイマイチだな。もっとカッコいい名前が欲しい
165
「iモードはセキュリティ事件・事故がなかったのなら、それは安全ということでは?」という疑問が生まれますね。言い方を変えましょう。
iモードはセキュリティが足かせとなって技術的な発展ができなかった
ならいいですね。興味がある人が少なくても、歴史的には伝えていくべき内容だとは思います twitter.com/ockeghem/statu…
167
逐次処理というかキューでしょ。これ自体はありだと思うけど、逐次処理なのに『複数の申請が同時に行われたためアクセス集中により負荷がかかり』というのが本当に謎
"他人の住民票が誤発行される謎バグの真相、富士通Japanの「稚拙」設計に専門家も驚く | 日経クロステック"
xtech.nikkei.com/atcl/nxt/colum…
168
Log4jの脆弱性がShellShockやHeartBleedに匹敵する危険性という記事を読んだけど、Log4jの方が、より危険な気がする。ShellShockは攻撃経路が限られた、HeartBleedは単体ではRCEまでいかない…というのが理由だけど、まぁ基準をまず決めないと比較は難しいですね、という結論
169
『初心者なので分かりやすく説明してください』も微妙にイラッとするし、そのイラッとする自分の気持といつも戦っているw / “なぜかエンジニアをイラっとさせてしまう人の質問 - Qiita” htn.to/2pcFALGp9u
170
陛下の「Vim が使いたい」は、「本当はVisual Studio Codeが使いたいのだが、そう言うと侍従がインストールしなければならない。なので主要ディストロに含まれるVimを使いたいと述べられたのだ」ではないかと
171
汎用機というのはIBMのSystem/360に由来する言葉で、当時の計算機の主な応用は事務計算と科学技術計算であり、かつそれぞれ「専用機」だったものが、System/360はどちらもできるいう意味での「汎用機」ですね。360度すなわち全方位をカバーするというIBMらしい大げさなネーミングですな twitter.com/ebiebi_pg/stat…
172
ここ好き>『1つ目は問題解決能力です。論理的に、数学的に問題を解くような力が非常に重要です。具体的には、より多くのプログラミングの問題や数学の問題を解いていくといいと思います』 / “イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法につい…” htn.to/45RDWctgNE
173
ITmediaがこんなガセを垂れ流してよいのか?>『市の担当者によると「Google検索はGoogleが公式サイトと認証したサイトを上位に表示する仕組み」といい、同市は何らかの理由で認証が外れたとみて調査』 / “市の公式ページが検索上位に表示されない――伊万里市がGoogleとヤフー…” htn.to/2j9VTY1BiW
174
『ドメインを、当社が廃止した後、第三者がドメイン管理会社から取得し、セキュリティ上問題があるスクリプトを設置している可能性があることが判明しております』<XSS相当かそれ以上の脅威なんですが / “【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用…” htn.to/3K5W2w238M
175
Quoraに『なぜwebアプリケーションではphpやrubyなど動的で型付けのない言語が使われることが多いのですか?』という質問があった。うーむ、というところだけど、有識者からの回答を期待
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy