情報更新
ツイートの記録を停止しています

 

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索
新規ツイートの取得を再開しました!取得再開にはログインが必要です。

Twilog

ツイートの記録を停止しています

このアカウントはTwitter APIの仕様変更の影響でツイートの記録を停止しています。
記録を再開するには、Twilogにログインしてください。

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 839フォロー
  • 1,702フォロワー
  • 86リスト
Stats Twitter歴
6,143日(2007/06/04より)
ツイート数
19,610(3.1件/日)

ツイートの並び順 :

表示するツイート :

2017年09月28日(木)1 tweetsource

2017年09月27日(水)1 tweetsource

2017年09月26日(火)1 tweetsource

2017年09月19日(火)6 tweetssource

9月19日

@ikepyon

Ikeda Masakazu@ikepyon

もしかしたら、スマートフォンアプリもあるから、カードのIDを推測、あるいは取得してなりすましと言うのもあるかも

posted at 19:20:31

2017年09月13日(水)2 tweetssource

2017年09月12日(火)16 tweetssource

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

ZAPって静的スキャンになってるのか。静的スキャンという言葉はソースコードスキャンのことを言うことが多いようだし、ちょっと気持ち悪い

posted at 17:12:04

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

C/C++以外のバッファオーバーフローと思われるのとして、昔再帰する関数作ったら、再帰が深すぎると挙動がおかしくなるのを作ったなぁw 4回ぐらいなら予想通りに動いて、5回ぐらい再帰すると予想通り動かなくなるの

posted at 17:06:48

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

実際問題として、strncpy使ってなかったというのもあるけどデータサイズの計算間違いなどでチェックがザルというのも多そうなので、両方したほうがいいのか

posted at 16:36:35

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

Bof対策の漏れがないとなるとstrncpyなどを使うことがいいけど、別の問題も起こりそうだし、仕様上どうなのよというのもある。データ長チェックを使う直前で行うというのがいいのだろうけど、やっぱり漏れそう。両方やるのが一番いいのかも?

posted at 16:30:39

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

デメリット
処理すべきでないデータを強引にデータをぶった切って処理するので、別の問題が起こる可能性がある

posted at 16:28:10

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

一方strncpyなどでコピーするデータ長を制限するメリット
指定したデータ長以上の操作を行わないので、Bof対策の漏れがない

posted at 16:27:04

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

デメリット:チェックする場所とBofが発生する場所が離れていると漏れる可能性がある。
エラー処理を別途書く必要がある

posted at 16:25:32

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

バッファオーバーフロー対策としてのデータサイズチェックのメリットデメリット考えてみた。
メリット:
処理すべきではないデータをはじくので、処理すべきでないデータを処理するということがない

posted at 16:24:53

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

チケット詐欺の話。口入家業をやって持っている人から安く買ってほしがっている人に言い値で売るということやった方がリスクないのになぜやっちゃったんだろう?

posted at 14:39:52

9月12日

@ikepyon

Ikeda Masakazu@ikepyon

@ymzkei5 あれ、ソフト(開発したアプリ)でチェック以外にBofを防ぐ方法有りましたっけ?コンパイラで防ぐというのもあるかと思いますが、基本はアプリだと思ってましたが?

posted at 13:27:47

2017年09月11日(月)1 tweetsource

2017年09月08日(金)7 tweetssource

9月8日

@ikepyon

Ikeda Masakazu@ikepyon

フレームワークやらライブラリを脆弱性が見つかったら直ぐにあげられないなら、WAFで何とかするというのは非常に有効だと思うんだけど、その辺普及しないよなぁ

posted at 16:09:46

9月8日

@ikepyon

Ikeda Masakazu@ikepyon

某世紀末バリデーターって開発者の提言通りに実装されてない気がするんだけど、それってバグなのか、開発者自信ですら実装できない机上の空論なのかわからないw

posted at 13:33:31

2017年09月06日(水)1 tweetsource

2017年09月05日(火)2 tweetssource

2017年09月01日(金)1 tweetsource

9月1日

@ikepyon

Ikeda Masakazu@ikepyon

世紀末バリデーターは作られているようなので、これ一つ通せば脆弱性を起こさないありとあらゆるエスケープを行う世紀末エスケーパーを作るしかw

posted at 16:24:11

このページの先頭へ

×